プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 リムーバブルドライブを介した感染活動, すべての論理ドライブ内に自身のコピーを作成

マルウェアは、リムーバブルドライブを介してコンピュータに侵入します。 マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、自身のコピーがWindows起動時に自動実行されるようレジストリ値を追加します。

マルウェアは、すべてのリムーバブルドライブ内に自身のコピーを作成します。 マルウェアは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

  詳細

ペイロード メッセージボックスの表示, ファイルの作成

侵入方法

マルウェアは、リムーバブルドライブを介してコンピュータに侵入します。

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Name of currently logged in user} = "%System%\{Name of currently logged in user}.vbs"

他のシステム変更

マルウェアは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Window Title = "Hacked by {malware file name of initially executed file}"

感染活動

マルウェアは、すべてのリムーバブルドライブ内に自身のコピーを作成します。

マルウェアは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[AutoRun]
shellexecute=wscript.exe {malware file name of initially executed file}

その他

マルウェアは、以下のメッセージボックスを表示します。

  • Mutation of Trojan virus!

マルウェアを実行するには、ノーマルファイル "WSCRIPT.EXE" が必要になります。

  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 4.408.01
初回 VSAPI パターンリリース日 2007年4月11日

手順 1

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「VBS_SOLOW.C」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 2

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

マルウェアを削除するために、まずマルウェアのプログラムを特定します。

トレンドマイクロのウイルス対策製品を用いてコンピュータをスキャンしてください。

註:パス名および「VBS_SOLOW.C」として検出されるすべてのファイルのファイル名をメモしてください。

トレンドマイクロのお客様は、最新のパターンファイルをダウンロードし、コンピュータをスキャンしていただく必要があります。その他のユーザは、トレンドマイクロが提供する無償のマルウェア検出ツールである「Trend Micro HouseCall」をご利用いただけます。

「WSCRIPT.EXE」のプロセスの終了

マルウェアが不正活動に利用する正規のプロセス「WSCRIPT.EXE」を終了します。

1. タスクマネージャを起動します。

  • Windows 98およびME の場合CTRL+ALT+DELETEを押します。
  • Windows NT、2000、XP および Server 2003 の場合CTRL+SHIFT+ESCを押し、[プロセス]タブをクリックします。

2. 実行中のプログラムのリストから以下のプロセスを選択します。

  • WSCRIPT.EXE

3. 使用している Windows のバージョンに応じて、[タスクの終了]、または、[プロセスの終了]をクリックします。

4. マルウェアのプロセスが終了されているかを確認するには、タスクマネージャを再起動してください。

5. タスクマネージャを閉じてください。

註:どのWindowsプラットフォームを使用している場合でも、タスクマネージャまたはプロセスエクスプローラによって表示されるリスト内に、探しているプロセスが見つからない場合、追加の手順として以下の操作を行なってください。タスクマネージャまたはプロセスエクスプローラのリストにマルウェアのプロセスが表示されていても終了できない場合、セーフモードでコンピュータを再起動してください。 .

レジストリの編集

マルウェアは、コンピュータのレジストリを改変します。マルウェアに感染したユーザは、特定のレジストリキーまたはレジストリ値を変更または削除する必要があります。レジストリの編集に関する詳しい情報は、Microsoftが提供する以下の記事を参照してください。

  1. Windows 95、Windows 98、および Windows Me でレジストリをバックアップ、編集、および復元する方法
  2. Windows NT 4.0 コンピュータでレジストリをバックアップ、編集、または復元する方法
  3. Windows 2000 でレジストリをバックアップ、編集、および復元する方法
  4. Windows XP でレジストリをバックアップおよび復元する方法

レジストリからの自動実行エントリの削除

レジストリからの自動実行エントリを削除することにより、起動時にマルウェアの実行を防ぐことができます。

以下のレジストリ値が確認されない場合、マルウェアは実行されません。このために、以下の対応を実行してください。

  1. 「レジストリエディタ」を起動します。[スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、[OK]をクリックします。
    ※regedit は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
  2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。

    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
    Windows>CurrentVersion>Run

  3. 右側のパネルで以下のレジストリ値を検索し、削除します。

    <現在のログインユーザ名> = "%System%\<現在のログインユーザ名>.vbs"

    (註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、""C:\Windows\System""、Windows NT および 2000 の場合、""C:\WinNT\System32""、Windows XP および Server 2003 の場合、""C:\Windows\System32"" です。)

改変されたレジストリ値の修復

  1. 「レジストリエディタ」の左側のパネルにある以下をダブルクリックします。

    HKEY_CURRENT_USER>Software>Microsoft>
    Internet Explorer>Main

  2. 右側のパネルで以下のレジストリ値を検索します。

    Window Title = "Hacked by <上述で検出されたファイルのマルウェアファイル名>"

  3. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を削除します。
  4. レジストリエディタを閉じます。

"AUTORUN.INF" の修復

  1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
    註:Windowsのバージョンによって異なります。
  2. [ファイル名のすべてまたは一部]に、以下のファイル名を入力してください。

    AUTORUN.INF

  3. [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
  4. 検索が終了したら、ファイルを選択し、メモ帳などテキストエディタを用いて開いてください。
  5. 以下の文字列が存在するか確認してください。

    shellexecute=wscript.exe <上述で検出されたファイルのマルウェアファイル名>

  6. この文字列が存在する場合はファイルを削除してください。
  7. 他のリムーバブルドライブ内の残りの "AUTORUN.INF" についても、この手順3.)から6.)を繰り返してください。
  8. [検索結果]画面を閉じてください。


ご利用はいかがでしたか? アンケートにご協力ください