解析者: Adrian Cofreros   

 別名:

Worm:Win32/Conficker.gen!E(Microsoft),Net-Worm.Win32.Kido.ih(Kaspersky),Worm/Downadup(AVG)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 フラッシュドライブを介した感染活動, すべての論理ドライブ内に自身のコピーを作成, 共有ネットワークフォルダを介した感染活動

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成され、コンピュータに侵入します。

ワームは、レジストリ値を変更し、複数のシステムサービスを無効にします。これにより、システムに必要な機能が起動しません。 ワームは、特定のレジストリ値を削除するため、アプリケーションやプログラムが正しく起動しなくなります。

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。 ワームは、ソフトウェアに存在する脆弱性を利用して、同じネットワーク上にある他のコンピュータへの感染活動をします。

ワームは、バックドア活動の機能を備えていません。

ワームは、特定のユーザ名とパスワードのリストを用いて、パスワード保護された共有ファイルにアクセスします。

ワームは、特定の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。

  詳細

ファイルサイズ 162,155 bytes
タイプ DLL
発見日 2010年10月20日
ペイロード システムセキュリティへの感染活動, ネットワークセキュリティへの感染活動

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、ネットワーク共有フォルダを経由してコンピュータに侵入します。

ワームは、他のマルウェアに作成され、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\{random file name}.dll
  • %System%\{random file name}.dll
  • %System%\{random number}.tmp
  • %Program Files%\Internet Explorer\{random file name}.dll
  • %Program Files%\Movie Maker\{random file name}.dll
  • %User Temp%\{random file name}.dll

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}
DisplayName = "{random}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}
Type = "32"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}
ObjectName = "Local System"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}
Description = "{long sentences}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}
ImagePath = "%System Root%\system32\svchost.exe -k netsvcs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}\Parameters
ServiceDll = "%System%\{malware file name}"

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "rundll32.exe {malware path and file name}, {Parameter}"

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
dl = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
ds = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
ds = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
dl = "0"

ワームは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
netsvcs = "{original value} {random characters}"

(註:変更前の上記レジストリ値は、「{original value}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
TcpNumConnections = "0x00FFFFFE" - hex values

(註:変更前の上記レジストリ値は、「{System Default}」となります。)

ワームは、レジストリ値を変更し、以下のシステムサービスを無効化します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinDefend
Start = "4"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WerSvc
Start = "4"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(註:変更前の上記レジストリ値は、「2」となります。)

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

ワームは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\explorer\
ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}

ワームは、以下のレジストリ値を削除します。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Defender = "{value}"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • {drive letter}:\RECYCLER\{SID}

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {drive letter}:\RECYCLER\{SID}\{random characters}

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

;garbage characters
;garbage characters
shelLExECUte =RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
;garbage characters
;garbage characters

ワームは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。

  • Vulnerability in Microsoft's Server service

バックドア活動

ワームは、バックドア活動の機能を備えていません。

情報漏えい

ワームは、以下のユーザ名およびパスワードのリストを用いて、パスワード保護された共有ファイルにアクセスします。

  • 99999999
  • 9999999
  • 999999
  • 99999
  • 88888888
  • 8888888
  • 888888
  • 88888
  • 77777777
  • 7777777
  • 777777
  • 77777
  • 66666666
  • 6666666
  • 666666
  • 66666
  • 55555555
  • 5555555
  • 555555
  • 55555
  • 44444444
  • 4444444
  • 444444
  • 44444
  • 33333333
  • 3333333
  • 333333
  • 33333
  • 22222222
  • 2222222
  • 222222
  • 22222
  • 11111111
  • 1111111
  • 111111
  • 11111
  • 00000000
  • 0000000
  • 00000
  • 0987654321
  • 987654321
  • 87654321
  • 7654321
  • 654321
  • 54321
  • zzzzz
  • xxxxx
  • qqqqq
  • aaaaa
  • intranet
  • controller
  • killer
  • games
  • private
  • market
  • coffee
  • cookie
  • forever
  • freedom
  • student
  • account
  • academia
  • files
  • windows
  • monitor
  • unknown
  • anything
  • letitbe
  • letmein
  • domain
  • access
  • money
  • campus
  • explorer
  • exchange
  • customer
  • cluster
  • nobody
  • codeword
  • codename
  • changeme
  • desktop
  • security
  • secure
  • public
  • system
  • shadow
  • office
  • supervisor
  • superuser
  • share
  • super
  • secret
  • server
  • computer
  • owner
  • backup
  • database
  • lotus
  • oracle
  • business
  • manager
  • temporary
  • ihavenopass
  • nothing
  • nopassword
  • nopass
  • Internet
  • internet
  • example
  • sample
  • love123
  • boss123
  • work123
  • home123
  • mypc123
  • temp123
  • test123
  • qwe123
  • abc123
  • pw123
  • root123
  • pass123
  • pass12
  • pass1
  • admin123
  • admin12
  • admin1
  • password123
  • password12
  • password1
  • default
  • foobar
  • foofoo
  • temptemp
  • testtest
  • rootroot
  • adminadmin
  • mypassword
  • mypass
  • Login
  • login
  • Password
  • password
  • passwd
  • zxcvbn
  • zxcvb
  • zxccxz
  • zxcxz
  • qazwsxedc
  • qazwsx
  • q1w2e3
  • qweasdzxc
  • asdfgh
  • asdzxc
  • asddsa
  • asdsa
  • qweasd
  • qwerty
  • qweewq
  • qwewq
  • nimda
  • administrator
  • Admin
  • admin
  • a1b2c3
  • 1q2w3e
  • 1234qwer
  • 1234abcd
  • 123asd
  • 123qwe
  • 123abc
  • 123321
  • 12321
  • 123123
  • 1234567890
  • 123456789
  • 12345678
  • 1234567
  • 123456
  • 12345

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://www.{BLOCKED}p.org
  • http://www.{BLOCKED}yipaddress.com
  • http://www.whatismyip.org
  • http://checkip.dyndns.org

ワームは、以下のタイムサーバにアクセスし、現在の日付を確認します。

  • myspace.com
  • msn.com
  • ebay.com
  • cnn.com
  • aol.com
  • w3.org
  • ask.com
  • yahoo.com
  • google.com
  • baidu.com

ワームは、以下の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。

  • ahnlab
  • arcabit
  • avast
  • avg
  • avira
  • avp
  • bit9.
  • castlecops
  • centralcommand
  • clamav
  • comodo
  • computerassociates
  • cpsecure
  • defender
  • drweb
  • emsisoft
  • esafe
  • eset
  • etrust
  • ewido
  • f-prot
  • f-secure
  • fortinet
  • gdata
  • grisoft
  • hacksoft
  • hauri
  • ikarus
  • jotti
  • k7computing
  • kaspersky
  • malware
  • mcafee
  • microsoft
  • networkassociates
  • nod32
  • norman
  • norton
  • panda
  • pctools
  • prevx
  • quickheal
  • rising
  • rootkit
  • sans.
  • securecomputing
  • sophos
  • spamhaus
  • spyware
  • sunbelt
  • symantec
  • threatexpert
  • trendmicro
  • virus
  • wilderssecurity
  • windowsupdate
  • Ccert.

ワームは、Microsoftのサーバサービスに存在する脆弱性を利用して、ネットワーク上で感染活動をします。

また、ワームは、以下の不正活動を行います。

  • ワームは、メモリ内の "TCPIP.SYS" に修正パッチを当て、 Windows XP Service Pack 2環境で設定されているTCP同時接続数の制限を変更します。ワームは、特定のメモリ位置に "TCPIP.SYS" を読み込むことにより、これを行います。ワームは、その後、TMPファイル "%System%\0{random number}.tmp" を作成します。このTMPファイル により、 "TcpIp_Perf" という名称のデバイスオブジェクトが作成され、このオブジェクトはメモリ内に読み込まれた "TCPIP.SYS" にリンクします。ワームは、リンクされたデバイスオブジェクトにコントロールコード(パッチコード)を送信します。
  • ワームは、他のマルウェアによって利用される機能をエクスポートします。ワームは、自身のファイルの作成時間を正規のWindowsファイル "KERNEL32.DLL" の作成時間と同様に設定します。この正規のファイルもWindowsシステムフォルダ内にあります。これにより、ワームは、感染したコンピュータ上に新しく追加されたファイルとして容易に検出されることを避けます。
  • コンピュータがWindows Vista上で実行されている場合、ワームは、以下のコマンドを実行し自動チューニング機能を無効にします。
  • netsh interface tcp set global autotuning=disabled

  • ワームは、マイクロソフト社の特定のOSに存在する脆弱性を利用し、感染活動を行います。この脆弱性により、感染したコンピュータが特別に細工されたRPCリクエストを受け取ると、リモートコードが実行されます。このコードにはシェルコードも含まれています。この脆弱性の詳細は、以下のWebサイトをご参照ください。 この不正なRPCリクエストが、脆弱性を含んだコンピュータに着信すると、まずシェルコードが解読されます。そして特定のAPIを取得します。このAPIは、感染したコンピュータからワームのコピーをダウンロードする機能を備えています。むろんこの時点で感染したコンピュータは、HTTPサーバに変換されています。そして、感染したコンピュータは、ランダムなTCPポートを開きます。これにより、脆弱性を含んだコンピュータは、自身を以下のURLに接続させることが可能になります。
    • http://{IP address of the affected machine}:{random port generated by this worm}/{malware file name composed of random characters}
  • ワームは、エクスプロイトコードをランダムなインターネットアドレスに送信することにより、インターネットを介しても感染活動を行います。ワームは、まずHTTPサーバとなるランダムなポートを開き、インターネット上に開放します。これにより、インターネットを介しての自由なアクセスが可能になります。ワームは、コンピュータの外部IPアドレスを取得し、そのコンピュータがインターネットへ直接接続しているかを確認します。直接接続している場合、イーサネットやモデムドライバ内の外部IPアドレスおよび設定IPを確認することにより、ワームは、エクスプロイトコードをインターネット上に発信します。
  • ワームは、コンピュータへのアクセスに成功すると、感染ユーザの個人情報を利用したランダムな名称のファイルを用い、ディレクトリ "Admin$\System32" 内に自身のコピーを作成します。ネットワーク上での感染活動に成功すると、 "NetScheduleJobAdd" APIを用いてフォルダ "%Windows%\Tasks" 内にスケジュール化されたタスクが作成され、自身のコピーが実行されます。作成されたジョブファイル内のスケジュール化された実行時間は、 "GetLocalTime" APIから取得されます。
  • ワームは、文字列の生成と以下の拡張子の追加をし、現在の日付に基づいたURLを作成します。
    • .biz
    • .info
    • .org
    • .net
    • .com.
    • .ws
    • .cn
    • .cc
  • ワームは、UTC (協定世界時)に基づき、250のランダムなWebサイトを含むURLのリストを毎日作成します。
  • ワームは、生成されたURLがアクティブな状態にあるか確認します。ワームは、スレッドを作成し、ファイルをダウンロードして実行します。これにより、ホスト名がIPアドレスに変換され、以下のようなURLを完成します。
    • http://{IP address}/search?q=0
    "NETAPI32.DLL" の "NetpwPathCanonicalize_hook" は、RPCのトラフィック内で生成されたURLを確認する機能を備えています。ワームは、URLがアクティブな場合、Webサイトに組み込まれたファイルをダウンロードします。
  • ワームは、以下のフォーマットで名前付きのパイプを作成します。
    • \\.\pipe\System_{random number}
    その後、ワームは、パイプに接続し、データを読み込みます。パイプから得た情報は、ファイルをダウンロードし、ダウンロードしたファイルを有効にして実行する "call_create_thread_download" 機能に渡されます。
  • ワームは、以下のAPIをフックします。この結果、インターネットに接続されると、ウイルス対策に関連するWebサイトのリストがフィルタリングされます。
    • DnsQuery_A
    • DnsQuery_UTF8
    • Query_Main
  •   対応方法

    対応検索エンジン: 9.300
    初回 VSAPI パターンバージョン 10.248.01
    初回 VSAPI パターンリリース日 2013年8月29日
    VSAPI OPR パターンバージョン 10.249.00
    VSAPI OPR パターンリリース日 2013年8月30日

    手順 1

    Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    このマルウェアのパス名およびファイル名を確認します。
    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_DOWNAD.FUF」で検出したパス名およびファイル名を確認し、メモ等をとってください。

    手順 3

    Windowsをセーフモードで再起動します。

    [ 詳細 ]

    手順 4

    このレジストリキーを削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
      • {random characters}

    手順 5

    このレジストリ値を削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      • {random characters} = "rundll32.exe {malware path and file name}, {Parameter}"
    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets
      • dl = "0"
    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets
      • ds = "0"
    • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets
      • ds = "0"
    • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets
      • dl = "0"

    手順 6

    変更されたレジストリ値を修正します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
      • From: netsvcs = "{original value} {random characters}"
        To: netsvcs = {original value}
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
      • From: TcpNumConnections = "0x00FFFFFE" - hex values
        To: TcpNumConnections = {System Default}
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
      • From: Start = "4"
        To: Start = 2
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
      • From: Start = "4"
        To: Start = 2
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
      • From: Start = "4"
        To: Start = 2
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WerSvc
      • From: Start = "4"
        To: Start = 2
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
      • From: Start = "4"
        To: Start = 2
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
      • From: Start = "4"
        To: Start = 2
    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
      • From: CheckedValue = "0"
        To: CheckedValue = 1

    手順 7

    「WORM_DOWNAD.FUF」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

    [ 詳細 ]
    ;garbage characters
    ;garbage characters
    shelLExECUte =RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    ;garbage characters
    ;garbage characters

    手順 8

    以下のフォルダを検索し削除します。

    [ 詳細 ]
    註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    • {drive letter}:\RECYCLER\{SID}

    手順 9

    コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_DOWNAD.FUF」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

    手順 10

    以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。

    ※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run (Value:Windows Defender )


    ご利用はいかがでしたか? アンケートにご協力ください