TROJ_WIPMBR.A
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
はい
暗号化:
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、ハードディスクのパーティションを上書きし、感染コンピュータを使用不能および修復不能な状態にします。
マルウェアは、ハードディスクのパーティションを上書きするコンポーネントを作成します。これにより、再起動後に感染コンピュータを使用不能な状態にします。
また、マルウェアは、「TROJ_DISTTRACK.A」がコマンド&コントロール(C&C)サーバへ特定の情報を報告するときに、利用されます。
マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
詳細
侵入方法
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- WORM_DISTTRACK.A
インストール
マルウェアは、以下のファイルを作成します。
- {malware path}\f1.inf
- {malware path}\f2.inf
マルウェアは、以下の無害なファイルを作成します。
- %System%\Drivers\drdisk.sys
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
その他
コンポーネントファイルである "DRDISK.SYS" は、このマルウェアが、破損したJPEGファイルで、すべてのハードディスクのパーティションを上書きすることを可能にします。これにより、再起動後に感染コンピュータを使用不能な状態にします。
作成されたファイル "F1.INF" は、以下のフルパス名を含むテキストファイルです。
- "C:\Documents and Settings" 内に存在し、ファイル名に「download」および「document」という文字を含むすべてのファイル
- "C:\Users" 内に存在し、ファイル名に以下の文字を含むすべてのファイル
- download
- document
- picture
- video
- music
- f1.inf
- f2.inf
作成されたファイル "F2.INF" は、以下のフルパス名を含むテキストファイルです。
- "C:\Documents and Settings" および "C:\Users" 内に存在し、ファイル名に「desktop」という文字を含むすべてのファイル
- "C:\Windows\System32\Drivers" 内に存在するすべてのファイル
- "C:\Windows\System32\Config" 内に存在し、ファイル名に「systemprofile」という文字を含むすべてのファイル
マルウェアは、ハードディスクを使用不能にする際に利用された破損したJPEGファイルで "F1.INF" および "F2.INF" 内にリスト化されているファイルを上書きします。
また、マルウェアは、ファイル "%Windows%\inf\netf<ランダムな4文字>.pnf" を作成します。このファイルは、上書き対象となるファイルの数が含まれています。このファイルは、「TROJ_DISTTRACK.A」がコマンド&コントロール(C&C)サーバへ特定の情報を報告するときに、利用されます。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「TROJ_WIPMBR.A」を作成またはダウンロードする不正なファイルを削除します。 (註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)
手順 3
TROJ_WIPMBR.Aとして検出されるファイル名を確認後、Windowsの回復コンソールを使用し、Master Boot Record(MBR)の修復およびTROJ_WIPMBR.Aの削除を実行します。
※"fixmbr" と "<感染したドライブ>" の間に半角スペースを入れてください。
※"<感染したドライブ>" とは、この不正プログラムが感染したブータブル・ドライブのことです。ドライブが特定できない場合、プライマリ・ブート・ドライブにあるマスター・ブート・レコードが上書きされている可能性があります。
•Windows Vista、7 および Server 2008 の場合:
- 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
- Windows のインストールDVDを使用して、コンピュータを再起動します。
- インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
- [Windowsの起動に伴う問題の修復用の回復ツールを使用します。]を選択。インストールされたWindowsを選択し、[次へ]をクリックします。
- [スタートアップ修復]ウィンドウが表示される場合、[キャンセル]-[はい]-[終了]をクリックします。
- [詳細オプション]-[コマンドプロンプト]を選択。
- [コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
BootRec.exe /fixmbr
DATA_GENERIC
(註:Windows 7では、ローカルドライブは、通常より1つ多く割り当てられます。例:"C:"は"D:"になります。) - exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
- [再起動]をクリックし、コンピュータを通常起動します。
•Windows 8、8.1 および Server 2012 の場合:
- 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
- Windows のインストールDVDを使用して、コンピュータを再起動します。
- インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
- [トラブルシューティング]-[詳細オプション]-[コマンドプロンプト]を選択。
- [コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
BootRec.exe /fixmbr
DATA_GENERIC - exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
- [再起動]をクリックし、コンピュータを通常起動します。
手順 4
以下のファイルを検索し削除します。
- %System%\Drivers\drdisk.sys
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_WIPMBR.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 6
ファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
ご利用はいかがでしたか? アンケートにご協力ください