TSPY_GROZLEX.B
情報収集型
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、感染コンピュータや感染ユーザから特定の情報を収集します。
詳細
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %temp%\{dropped/executed filename}.exe
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_Current_User\Microsoft\Windows\
CurrentVersion
"M File" = {dropped copy of the malware in %temp% folder}
HKEY_Current_User\Microsoft\Windows\
CurrentVersion\Run
"MS Sound Drivers" = {dropped copy of the malware in %temp% folder}
HKEY_Current_User\Microsoft\Windows\
CurrentVersion\Run
"0" = {dropped copy of the malware in %temp% folder}
情報漏えい
マルウェアは、以下の情報を収集します。
- Vitalwerks username and Password
- Pidgin protocol and accounts
- Microsoft Office Product Key
- Yahoo Messenger saved IDs and Passwords
- Mozilla Firefox saved Credentials
- Google Chrome saved Credentials
- Opera Browser saved Credentials
- WindowsLive Credentials
- PalTalk Credentials
- Browser Cookies
- Filezilla Credentials
- Steam Credentials
- MSN Chat Logs
- Yahoo Chat Logs
- Skype Chat Logs
- Digsby Logs
情報収集
マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- {BLOCKED}ix.{BLOCKED}ista.org/index.php
対応方法
手順 1
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_GROZLEX.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 2
以下のファイルを検索し削除します。
註:ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。(例:ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索)
- Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合:
- [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合:
- 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
- Windows Vista、7 および Server 2008 の場合:
- [コンピューターの検索]に、以下を入力します。
DATA_GENERIC - ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください