WORM_BRONTOK.BA
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- %System Root%\Baca Bro !!!.txt
- %System%\s4563\c.bron.tok.txt
- %System%\s4563\domlist.txt
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\dv684780x\yesbron.com
- %Application Data%\jalak-93847815-bali.com
- %System%\c_38082k.com
- %System%\s4563\smss.exe
- %System%\s4563\csrss.exe
- %System%\s4563\lsass.exe
- %System%\s4563\m4227.exe
- %System%\s4563\services.exe
- %System%\s4563\winlogon.exe
- %System%\s4563\zh59847884y.exe
- %Windows%\j6380822.exe
- %Windows%\o4380827.exe
- %Windows%\_default38082.pif
- %Windows%\wi9426\qm4227.exe
ワームは、以下のフォルダを作成します。
- %Application Data%\dv684780x
- %System%\s4563
- %System%\s4563\Spread.Mail.Bro
- %System%\s4563\Spread.Sent.Bro
- %Windows%\wi9426
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\run
f1332win = "%Application Data%\dv684780x\yesbron.com"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
f1332win = "%System%\s4563\zh59847884y.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\run
A6108r = "%Windows%\_default38082.pif"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
A6108r = "%Windows%\j6380822.exe"
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe "%Windows%\o4380827.exe""
(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%Windows%\j6380822.exe"
(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
AlternateShell = "c_38082k.com"
(註:変更前の上記レジストリ値は、「cmd.exe」となります。)
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule
AtTaskMaxHours = "48"
ワームは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Brontok
ワームは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HOSTSファイルの改変
ワームは、WindowsのHOSTSファイルに以下の文字列を追加します。
- #JowoBot-CrackHost
- 127.0.0.22 mcafee.com
- 127.0.0.22 www.mcafee.com
- 127.0.0.22 mcafee.net
- 127.0.0.22 www.mcafee.net
- 127.0.0.22 mcafee.org
- 127.0.0.22 www.mcafee.org
- 127.0.0.22 mcafeesecurity.com
- 127.0.0.22 www.mcafeesecurity.com
- 127.0.0.22 mcafeesecurity.net
- 127.0.0.22 www.mcafeesecurity.net
- 127.0.0.22 mcafeesecurity.org
- 127.0.0.22 www.mcafeesecurity.org
- 127.0.0.22 mcafeeb2b.com
- 127.0.0.22 www.mcafeeb2b.com
- 127.0.0.22 mcafeeb2b.net
- 127.0.0.22 www.mcafeeb2b.net
- 127.0.0.22 mcafeeb2b.org
- 127.0.0.22 www.mcafeeb2b.org
- 127.0.0.22 nai.com
- 127.0.0.22 www.nai.com
- 127.0.0.22 nai.net
- 127.0.0.22 www.nai.net
- 127.0.0.22 nai.org
- 127.0.0.22 www.nai.org
- 127.0.0.22 vil.nai.com
- 127.0.0.22 www.vil.nai.com
- 127.0.0.22 vil.nai.net
- 127.0.0.22 www.vil.nai.net
- 127.0.0.22 vil.nai.org
- 127.0.0.22 www.vil.nai.org
- 127.0.0.22 grisoft.com
- 127.0.0.22 www.grisoft.com
- 127.0.0.22 grisoft.net
- 127.0.0.22 www.grisoft.net
- 127.0.0.22 grisoft.org
- 127.0.0.22 www.grisoft.org
- 127.0.0.22 kaspersky-labs.com
- 127.0.0.22 www.kaspersky-labs.com
- 127.0.0.22 kaspersky-labs.net
- 127.0.0.22 www.kaspersky-labs.net
- 127.0.0.22 kaspersky-labs.org
- 127.0.0.22 www.kaspersky-labs.org
- 127.0.0.22 kaspersky.com
- 127.0.0.22 www.kaspersky.com
- 127.0.0.22 kaspersky.net
- 127.0.0.22 www.kaspersky.net
- 127.0.0.22 kaspersky.org
- 127.0.0.22 www.kaspersky.org
- 127.0.0.22 downloads1.kaspersky-labs.com
- 127.0.0.22 www.downloads1.kaspersky-labs.com
- 127.0.0.22 downloads1.kaspersky-labs.net
- 127.0.0.22 www.downloads1.kaspersky-labs.net
- 127.0.0.22 downloads1.kaspersky-labs.org
- 127.0.0.22 www.downloads1.kaspersky-labs.org
- 127.0.0.22 downloads2.kaspersky-labs.com
- 127.0.0.22 www.downloads2.kaspersky-labs.com
- 127.0.0.22 downloads2.kaspersky-labs.net
- 127.0.0.22 www.downloads2.kaspersky-labs.net
- 127.0.0.22 downloads2.kaspersky-labs.org
- 127.0.0.22 www.downloads2.kaspersky-labs.org
- 127.0.0.22 downloads3.kaspersky-labs.com
- 127.0.0.22 www.downloads3.kaspersky-labs.com
- 127.0.0.22 downloads3.kaspersky-labs.net
- 127.0.0.22 www.downloads3.kaspersky-labs.net
- 127.0.0.22 downloads3.kaspersky-labs.org
- 127.0.0.22 www.downloads3.kaspersky-labs.org
- 127.0.0.22 downloads4.kaspersky-labs.com
- 127.0.0.22 www.downloads4.kaspersky-labs.com
- 127.0.0.22 downloads4.kaspersky-labs.net
- 127.0.0.22 www.downloads4.kaspersky-labs.net
- 127.0.0.22 downloads4.kaspersky-labs.org
- 127.0.0.22 www.downloads4.kaspersky-labs.org
- 127.0.0.22 download.mcafee.com
- 127.0.0.22 www.download.mcafee.com
- 127.0.0.22 download.mcafee.net
- 127.0.0.22 www.download.mcafee.net
- 127.0.0.22 download.mcafee.org
- 127.0.0.22 www.download.mcafee.org
- 127.0.0.22 norton.com
- 127.0.0.22 www.norton.com
- 127.0.0.22 norton.net
- 127.0.0.22 www.norton.net
- 127.0.0.22 norton.org
- 127.0.0.22 www.norton.org
- 127.0.0.22 symantec.com
- 127.0.0.22 www.symantec.com
- 127.0.0.22 symantec.net
- 127.0.0.22 www.symantec.net
- 127.0.0.22 symantec.org
- 127.0.0.22 www.symantec.org
- 127.0.0.22 liveupdate.symantecliveupdate.com
- 127.0.0.22 www.liveupdate.symantecliveupdate.com
- 127.0.0.22 liveupdate.symantecliveupdate.net
- 127.0.0.22 www.liveupdate.symantecliveupdate.net
- 127.0.0.22 liveupdate.symantecliveupdate.org
- 127.0.0.22 www.liveupdate.symantecliveupdate.org
- 127.0.0.22 liveupdate.symantec.com
- 127.0.0.22 www.liveupdate.symantec.com
- 127.0.0.22 liveupdate.symantec.net
- 127.0.0.22 www.liveupdate.symantec.net
- 127.0.0.22 liveupdate.symantec.org
- 127.0.0.22 www.liveupdate.symantec.org
- 127.0.0.22 update.symantec.com
- 127.0.0.22 www.update.symantec.com
- 127.0.0.22 update.symantec.net
- 127.0.0.22 www.update.symantec.net
- 127.0.0.22 update.symantec.org
- 127.0.0.22 www.update.symantec.org
- 127.0.0.22 securityresponse.symantec.com
- 127.0.0.22 www.securityresponse.symantec.com
- 127.0.0.22 securityresponse.symantec.net
- 127.0.0.22 www.securityresponse.symantec.net
- 127.0.0.22 securityresponse.symantec.org
- 127.0.0.22 www.securityresponse.symantec.org
- 127.0.0.22 sarc.com
- 127.0.0.22 www.sarc.com
- 127.0.0.22 sarc.net
- 127.0.0.22 www.sarc.net
- 127.0.0.22 sarc.org
- 127.0.0.22 www.sarc.org
- 127.0.0.22 vaksin.com
- 127.0.0.22 www.vaksin.com
- 127.0.0.22 vaksin.net
- 127.0.0.22 www.vaksin.net
- 127.0.0.22 vaksin.org
- 127.0.0.22 www.vaksin.org
- 127.0.0.22 forum.vaksin.com
- 127.0.0.22 www.forum.vaksin.com
- 127.0.0.22 forum.vaksin.net
- 127.0.0.22 www.forum.vaksin.net
- 127.0.0.22 forum.vaksin.org
- 127.0.0.22 www.forum.vaksin.org
- 127.0.0.22 norman.com
- 127.0.0.22 www.norman.com
- 127.0.0.22 norman.net
- 127.0.0.22 www.norman.net
- 127.0.0.22 norman.org
- 127.0.0.22 www.norman.org
- 127.0.0.22 trendmicro.com
- 127.0.0.22 www.trendmicro.com
- 127.0.0.22 trendmicro.net
- 127.0.0.22 www.trendmicro.net
- 127.0.0.22 trendmicro.org
- 127.0.0.22 www.trendmicro.org
- 127.0.0.22 trendmicro-europe.com
- 127.0.0.22 www.trendmicro-europe.com
- 127.0.0.22 trendmicro-europe.net
- 127.0.0.22 www.trendmicro-europe.net
- 127.0.0.22 trendmicro-europe.org
- 127.0.0.22 www.trendmicro-europe.org
- 127.0.0.22 ae.trendmicro-europe.com
- 127.0.0.22 www.ae.trendmicro-europe.com
- 127.0.0.22 ae.trendmicro-europe.net
- 127.0.0.22 www.ae.trendmicro-europe.net
- 127.0.0.22 ae.trendmicro-europe.org
- 127.0.0.22 www.ae.trendmicro-europe.org
- 127.0.0.22 it.trendmicro-europe.com
- 127.0.0.22 www.it.trendmicro-europe.com
- 127.0.0.22 it.trendmicro-europe.net
- 127.0.0.22 www.it.trendmicro-europe.net
- 127.0.0.22 it.trendmicro-europe.org
- 127.0.0.22 www.it.trendmicro-europe.org
- 127.0.0.22 secunia.com
- 127.0.0.22 www.secunia.com
- 127.0.0.22 secunia.net
- 127.0.0.22 www.secunia.net
- 127.0.0.22 secunia.org
- 127.0.0.22 www.secunia.org
- 127.0.0.22 winantivirus.com
- 127.0.0.22 www.winantivirus.com
- 127.0.0.22 winantivirus.net
- 127.0.0.22 www.winantivirus.net
- 127.0.0.22 winantivirus.org
- 127.0.0.22 www.winantivirus.org
- 127.0.0.22 pandasoftware.com
- 127.0.0.22 www.pandasoftware.com
- 127.0.0.22 pandasoftware.net
- 127.0.0.22 www.pandasoftware.net
- 127.0.0.22 pandasoftware.org
- 127.0.0.22 www.pandasoftware.org
- 127.0.0.22 esafe.com
- 127.0.0.22 www.esafe.com
- 127.0.0.22 esafe.net
- 127.0.0.22 www.esafe.net
- 127.0.0.22 esafe.org
- 127.0.0.22 www.esafe.org
- 127.0.0.22 f-secure.com
- 127.0.0.22 www.f-secure.com
- 127.0.0.22 f-secure.net
- 127.0.0.22 www.f-secure.net
- 127.0.0.22 f-secure.org
- 127.0.0.22 www.f-secure.org
- 127.0.0.22 europe.f-secure.com
- 127.0.0.22 www.europe.f-secure.com
- 127.0.0.22 europe.f-secure.net
- 127.0.0.22 www.europe.f-secure.net
- 127.0.0.22 europe.f-secure.org
- 127.0.0.22 www.europe.f-secure.org
- 127.0.0.22 bhs.com
- 127.0.0.22 www.bhs.com
- 127.0.0.22 bhs.net
- 127.0.0.22 www.bhs.net
- 127.0.0.22 bhs.org
- 127.0.0.22 www.bhs.org
- 127.0.0.22 datafellows.com
- 127.0.0.22 www.datafellows.com
- 127.0.0.22 datafellows.net
- 127.0.0.22 www.datafellows.net
- 127.0.0.22 datafellows.org
- 127.0.0.22 www.datafellows.org
- 127.0.0.22 cheyenne.com
- 127.0.0.22 www.cheyenne.com
- 127.0.0.22 cheyenne.net
- 127.0.0.22 www.cheyenne.net
- 127.0.0.22 cheyenne.org
- 127.0.0.22 www.cheyenne.org
- 127.0.0.22 ontrack.com
- 127.0.0.22 www.ontrack.com
- 127.0.0.22 ontrack.net
- 127.0.0.22 www.ontrack.net
- 127.0.0.22 ontrack.org
- 127.0.0.22 www.ontrack.org
- 127.0.0.22 sands.com
- 127.0.0.22 www.sands.com
- 127.0.0.22 sands.net
- 127.0.0.22 www.sands.net
- 127.0.0.22 sands.org
- 127.0.0.22 www.sands.org
- 127.0.0.22 sophos.com
- 127.0.0.22 www.sophos.com
- 127.0.0.22 sophos.net
- 127.0.0.22 www.sophos.net
- 127.0.0.22 sophos.org
- 127.0.0.22 www.sophos.org
- 127.0.0.22 icubed.com
- 127.0.0.22 www.icubed.com
- 127.0.0.22 icubed.net
- 127.0.0.22 www.icubed.net
- 127.0.0.22 icubed.org
- 127.0.0.22 www.icubed.org
- 127.0.0.22 perantivirus.com
- 127.0.0.22 www.perantivirus.com
- 127.0.0.22 perantivirus.net
- 127.0.0.22 www.perantivirus.net
- 127.0.0.22 perantivirus.org
- 127.0.0.22 www.perantivirus.org
- 127.0.0.22 castlecops.com
- 127.0.0.22 www.castlecops.com
- 127.0.0.22 castlecops.net
- 127.0.0.22 www.castlecops.net
- 127.0.0.22 castlecops.org
- 127.0.0.22 www.castlecops.org
- 127.0.0.22 virustotal.com
- 127.0.0.22 www.virustotal.com
- 127.0.0.22 virustotal.net
- 127.0.0.22 www.virustotal.net
- 127.0.0.22 virustotal.org
- 127.0.0.22 www.virustotal.org
- 127.0.0.22 free-av.com
- 127.0.0.22 www.free-av.com
- 127.0.0.22 free-av.net
- 127.0.0.22 www.free-av.net
- 127.0.0.22 free-av.org
- 127.0.0.22 www.free-av.org
- 127.0.0.22 antivirus.com
- 127.0.0.22 www.antivirus.com
- 127.0.0.22 antivirus.net
- 127.0.0.22 www.antivirus.net
- 127.0.0.22 antivirus.org
- 127.0.0.22 www.antivirus.org
- 127.0.0.22 anti-virus.com
- 127.0.0.22 www.anti-virus.com
- 127.0.0.22 anti-virus.net
- 127.0.0.22 www.anti-virus.net
- 127.0.0.22 anti-virus.org
- 127.0.0.22 www.anti-virus.org
- 127.0.0.22 ca.com
- 127.0.0.22 www.ca.com
- 127.0.0.22 ca.net
- 127.0.0.22 www.ca.net
- 127.0.0.22 ca.org
- 127.0.0.22 www.ca.org
- 127.0.0.22 fajarweb.com
- 127.0.0.22 www.fajarweb.com
- 127.0.0.22 fajarweb.net
- 127.0.0.22 www.fajarweb.net
- 127.0.0.22 fajarweb.org
- 127.0.0.22 www.fajarweb.org
- 127.0.0.22 jasakom.com
- 127.0.0.22 www.jasakom.com
- 127.0.0.22 jasakom.net
- 127.0.0.22 www.jasakom.net
- 127.0.0.22 jasakom.org
- 127.0.0.22 www.jasakom.org
- 127.0.0.22 backup.grisoft.com
- 127.0.0.22 www.backup.grisoft.com
- 127.0.0.22 backup.grisoft.net
- 127.0.0.22 www.backup.grisoft.net
- 127.0.0.22 backup.grisoft.org
- 127.0.0.22 www.backup.grisoft.org
- 127.0.0.22 infokomputer.com
- 127.0.0.22 www.infokomputer.com
- 127.0.0.22 infokomputer.net
- 127.0.0.22 www.infokomputer.net
- 127.0.0.22 infokomputer.org
- 127.0.0.22 www.infokomputer.org
- 127.0.0.22 playboy.com
- 127.0.0.22 www.playboy.com
- 127.0.0.22 playboy.net
- 127.0.0.22 www.playboy.net
- 127.0.0.22 playboy.org
- 127.0.0.22 www.playboy.org
- 127.0.0.22 sex-mission.com
- 127.0.0.22 www.sex-mission.com
- 127.0.0.22 sex-mission.net
- 127.0.0.22 www.sex-mission.net
- 127.0.0.22 sex-mission.org
- 127.0.0.22 www.sex-mission.org
- 127.0.0.22 pornstargals.com
- 127.0.0.22 www.pornstargals.com
- 127.0.0.22 pornstargals.net
- 127.0.0.22 www.pornstargals.net
- 127.0.0.22 pornstargals.org
- 127.0.0.22 www.pornstargals.org
- 127.0.0.22 kaskus.com
- 127.0.0.22 www.kaskus.com
- 127.0.0.22 kaskus.net
- 127.0.0.22 www.kaskus.net
- 127.0.0.22 kaskus.org
- 127.0.0.22 www.kaskus.org
- 127.0.0.22 17tahun.com
- 127.0.0.22 www.17tahun.com
- 127.0.0.22 17tahun.net
- 127.0.0.22 www.17tahun.net
- 127.0.0.22 17tahun.org
- 127.0.0.22 www.17tahun.org
- 127.0.0.22 padinet.com
- 127.0.0.22 www.padinet.com
- 127.0.0.22 padinet.net
- 127.0.0.22 www.padinet.net
- 127.0.0.22 padinet.org
- 127.0.0.22 www.padinet.org
- 127.0.0.22 jeruk.padinet.com
- 127.0.0.22 www.jeruk.padinet.com
- 127.0.0.22 jeruk.padinet.net
- 127.0.0.22 www.jeruk.padinet.net
- 127.0.0.22 jeruk.padinet.org
- 127.0.0.22 www.jeruk.padinet.org
- 127.0.0.22 compactbyte.com
- 127.0.0.22 www.compactbyte.com
- 127.0.0.22 compactbyte.net
- 127.0.0.22 www.compactbyte.net
- 127.0.0.22 compactbyte.org
- 127.0.0.22 www.compactbyte.org
- 127.0.0.22 blog.compactbyte.com
- 127.0.0.22 www.blog.compactbyte.com
- 127.0.0.22 blog.compactbyte.net
- 127.0.0.22 www.blog.compactbyte.net
- 127.0.0.22 blog.compactbyte.org
- 127.0.0.22 www.blog.compactbyte.org
- 127.0.0.22 blogs.compactbyte.com
- 127.0.0.22 www.blogs.compactbyte.com
- 127.0.0.22 blogs.compactbyte.net
- 127.0.0.22 www.blogs.compactbyte.net
- 127.0.0.22 blogs.compactbyte.org
- 127.0.0.22 www.blogs.compactbyte.org
- #JowoBot-VM Community
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}free.org/Arts/bddwyrk/inf22.css
- http://{BLOCKED}ing.com/WS1/cgi/x.cgi?NAVG=Tracker&username=dudxwd
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
スタートアップディスク、または、回復コンソールを用いて、「WORM_BRONTOK.BA」として検出されたファイルを確認し削除します。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
- f1332win = "%Application Data%\dv684780x\yesbron.com"
- f1332win = "%Application Data%\dv684780x\yesbron.com"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- f1332win = "%System%\s4563\zh59847884y.exe"
- f1332win = "%System%\s4563\zh59847884y.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
- A6108r = "%Windows%\_default38082.pif"
- A6108r = "%Windows%\_default38082.pif"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- A6108r = "%Windows%\j6380822.exe"
- A6108r = "%Windows%\j6380822.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools = "1"
- DisableRegistryTools = "1"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
- AtTaskMaxHours = "48"
- AtTaskMaxHours = "48"
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software
- Brontok
- Brontok
手順 5
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Shell = "Explorer.exe "%Windows%\o4380827.exe""
To: Shell = "Explorer.exe"
- From: Shell = "Explorer.exe "%Windows%\o4380827.exe""
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Userinit = "%System%\userinit.exe,%Windows%\j6380822.exe"
To: Userinit = "%System%\userinit.exe,"
- From: Userinit = "%System%\userinit.exe,%Windows%\j6380822.exe"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
- From: AlternateShell = "c_38082k.com"
To: AlternateShell = "cmd.exe"
- From: AlternateShell = "c_38082k.com"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: Hidden = "0"
To: Hidden = "1"
- From: Hidden = "0"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: HideFileExt = "1"
To: HideFileExt = "0"
- From: HideFileExt = "1"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: ShowSuperHidden = "0"
To: ShowSuperHidden = "1"
- From: ShowSuperHidden = "0"
手順 6
以下のフォルダを検索し削除します。
- %Application Data%\dv684780x
- %System%\s4563
- %Windows%\wi9426
手順 7
以下のファイルを検索し削除します。
- %System Root%\Baca Bro !!!.txt
手順 8
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_BRONTOK.BA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 9
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %System%\drivers\etc\hosts
ご利用はいかがでしたか? アンケートにご協力ください