WORM_MOONLIGH.AB

マルウェアのファイルの確認および削除：

• Windows XP および Server 2003 の場合：

1. 最新のバージョン（エンジン、パターンファイル）を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
2. [スタート]-[ファイル名を指定して実行]を選択し、"secpol.msc" と入力し、Enter を押します。
3. 左側のパネルにある [ローカル ポリシー]-[セキュリティ オプション] をダブルクリックします。
4. 右側のパネルにある [回復コンソール：すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する] をダブルクリックします。
5. [有効] を選択し、[OK] をクリックします。
6. Windows のインストール CD を使用して、コンピュータを再起動します。
7. [セットアップへようこそ] 画面で、修復の R キーを押します。
8. キーボードを選択します。
9. 修復する Windows がインストールされているドライブを選択します（通常は 1 を選択します）。
10. 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずにEnter を押します。
11. 以下のコマンドを入力し、Enter を押します。
    SET AllowAllPaths = TRUE
    del "＜上記で確認したマルウェアのパス名およびファイル名＞"
    ※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。
12. コマンドプロンプトに exit と入力し、コンピュータを通常どおり再起動してください。

• Windows Vista、7 および Server 2008 の場合：

1. Windows のインストールDVDを使用して、コンピュータを再起動します。
2. インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
3. [Windowsの起動に伴う問題の修復用の回復ツールを使用します。]を選択。インストールされたWindowsを選択し、[次へ]をクリックします。
4. [スタートアップ修復]ウィンドウが表示される場合、[キャンセル]－[はい]－[終了]をクリックします。
5. [詳細オプション]－[コマンドプロンプト]を選択。[コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
   BootRec.exe /fixmbr
   del "＜上記で確認したマルウェアのパス名およびファイル名＞"
   ※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。
6. 上記で検出されたすべてのファイルについてこの手順を繰り返します。
7. exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
8. [再起動]をクリックし、コンピュータを通常起動します。

• Windows 8、8.1 および Server 2012 の場合：

1. Windows のインストールDVDを使用して、コンピュータを再起動します。
2. インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
3. [トラブルシューティング]－[詳細オプション]－[コマンドプロンプト]を選択。[コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
   BootRec.exe /fixmbr
   del "＜上記で確認したマルウェアのパス名およびファイル名＞"
   ※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。
4. 上記で検出されたすべてのファイルについてこの手順を繰り返します。
5. exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
6. [再起動]をクリックし、コンピュータを通常起動します。

レジストリエディタおよびタスクマネージャ、フォルダオプション機能の有効：

1. メモ帳などのテキストエディタを開きます。
   
   • Windows 2000、 XP および Server 2003 の場合：
     [スタート]-[ファイル名を指定して実行]を選択し、notepad と入力し、[OK]をクリックします。
   • Windows Vista、7 および Server 2008 の場合：
     [スタート]をクリックし、[プログラムとファイルの検索]に notepad と入力し、Enter を押します。
   • Windows 8、8.1 および Server 2012 の場合：
     画面の左下隅を右クリックし、[実行]を選択します。入力欄にnotepad と入力し、Enter を押します。
     ※notepad は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 以下の文字列をコピーしてください。
   On Error Resume Next Set shl = WScript.CreateObject("WScript.Shell") shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" shl.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr" shl.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr" shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions" shl.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
3. "C:\RESTORE.VBS" のファイル名でこのファイルを保存してください。
4. このファイル上でダブルクリックし、"C:\RESTORE.VBS"を実行します。
5. 確認画面が表示されたら[はい]を選択し、画面を終了してください。

このマルウェアが追加したレジストリキーの削除：

1. 「レジストリエディタ」を起動します。
   • Windows 2000、XP および Server 2003 の場合
     [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
   • Windows Vista、7 および Server 2008 の場合：
     [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
   • Windows 8、8.1 および Server 2012 の場合：
     画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>VB and VBA Program Settings>untukmu2
3. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
   version
4. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>VB and VBA Program Settings>titta
5. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
   version
6. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies
7. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
   System
8. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Image File Execution Options
9. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
   msconfig.exe
10. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
    regedit.exe
11. 「レジストリエディタ」を閉じます。

このマルウェアが追加したレジストリ値の削除：

1. 「レジストリエディタ」を起動します。
   • Windows 2000、XP および Server 2003 の場合：
     [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
   • Windows Vista、7、Server 2008 の場合：
     [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
   • Windows 8、8.1 および Server 2012 の場合：
     画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
3. 右側のパネルで以下のレジストリ値を検索し、削除します。
   10 = "\l.exe"
4. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
5. 右側のパネルで以下のレジストリ値を検索し、削除します。
   0 = "\l.exe"
6. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>VB and VBA Program Settings>untukmu2>version
7. 右側のパネルで以下のレジストリ値を検索し、削除します。
   me = "4"
8. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>VB and VBA Program Settings>titta>version
9. 右側のパネルで以下のレジストリ値を検索し、削除します。
   me = "4"
10. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced
11. 右側のパネルで以下のレジストリ値を検索し、削除します。
    ShowSuperHidden = "0"
12. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Image File Execution Options>msconfig.exe
13. 右側のパネルで以下のレジストリ値を検索し、削除します。
    debugger = "\notepad.exe"
14. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Image File Execution Options>regedit.exe
15. 右側のパネルで以下のレジストリ値を検索し、削除します。
    debugger = "\notepad.exe"
16. 「レジストリエディタ」を閉じます。

このマルウェアが変更したレジストリ値の修正：

1. 「レジストリエディタ」を起動します。
   • Windows 2000、XP および Server 2003 の場合：
     [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
   • Windows Vista、7 および Server 2008 の場合：
     [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
   • Windows 8、8.1 および Server 2012 の場合：
     画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>CabinetState
3. 右側のパネルで以下のレジストリ値を検索します。
   FullPath = "1"
4. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced
5. 右側のパネルで以下のレジストリ値を検索します。
   HideFileExt = "1"
6. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
   HideFileExt = "1"
7. 再び、右側のパネルで以下のレジストリ値を検索します。
   Hidden = "0"
8. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
   Hidden = "2"
9. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>Services>SharedAccess
10. 右側のパネルで以下のレジストリ値を検索します。
    Start = "0"
11. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    Start = "2"
12. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>Folder>SuperHidden
13. 右側のパネルで以下のレジストリ値を検索します。
    UncheckedValue = "0"
14. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    UncheckedValue = "1"
15. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>Control>SafeBoot
16. 右側のパネルで以下のレジストリ値を検索します。
    AlternateShell = "l.exe"
17. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    AlternateShell = "cmd.exe"
18. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SYSTEM>ControlSet002>Control>SafeBoot
19. 右側のパネルで以下のレジストリ値を検索します。
    AlternateShell = "l.exe"
20. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    AlternateShell = "cmd.exe"
21. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon
22. 右側のパネルで以下のレジストリ値を検索します。
    Shell = "explorer.exe, \134.exe "
23. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    Shell = "Explorer.exe"
24. レジストリエディタを閉じます。

マルウェアのコンポーネントファイルの削除：