Backdoor.Win32.FUPORPLEX.B
Trojan-Downloader.Win32.Delf(IKARUS); Trojan.Win32.Vemptik.hfs(KASPERSKY);
Windows
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
マルウェアは、ファイル、プロセスまたはレジストリ値を隠ぺいします。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを追加します。
- %System Root%\RECYCLER
- %Windows%\AppPatch
- %Windows%\AppPatch\Custom
- %Program Files%\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
マルウェアは、以下のファイルを作成します。
- %Windows%\AppPatch\Ke583427.xsl → shellcode detected as Trojan.Win32.FUPORPLEX.ENC
- One of the following: → winupdate32.log (if OS is x32), winupdate64.log (if OS is x64)
- %Windows%\sens.dll
- %Windows%\cscdll.dll
- One of the following:
- %Windows%\AppPatch\Acpsens.dll → copy of legit %Windows%\sens.dll
- %Windows%\AppPatch\Acpcscdll.dll → copy of legit %Windows%\cscdll.dll
- %Windows%\AppPatch\Ke{6 random numbers}.xsl → copy of %Windows%\AppPatch\Ke583427.xsl
- %Windows%\AppPatch\Ac{Characters based on C: volume serial number}.sdb → copy of %Windows%\AppPatch\Ke583427.xsl
- %Windows%\AppPatch\Custom\{7 random characters}.tmp → copies of its components
- %System%\Ms{Characters based on C: volume serial number}App.dll → detected as Trojan.Win32.FUPORPLEX.AF
- %System%\drivers\dump_{random hex strings}.sys
マルウェアは、以下のプロセスを追加します。
- netsh interface ipv6 install
- netsh ipsec static add policy name=qianye
- netsh ipsec static add filterlist name=Filter1
- netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=21 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=2222 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=3333 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=4444 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=5555 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=6666 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=7777 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8443 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8888 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9000 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9999 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14443 protocol=TCP
- netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14444 protocol=TCP
- netsh ipsec static add filteraction name=FilteraAtion1 action=block
- netsh ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1
- netsh ipsec static set policy name=qianye assign=y
- %System%\svchost.exe -k NetworkService
- %System%\svchost.exe -k LocalService
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
他のシステム変更
マルウェアは、以下のファイルを削除します。
- One of the following:
- %Windows%\AppPatch\Acpsens.dll
- %Windows%\AppPatch\Acpcscdll.dll
- One of the following:
- %Windows%\sens.dll
- %Windows%\cscdll.dll
- %System%\Ms{Characters based on C: volume serial number}App.dll
- %System%\ms{random characters}es{3 random characters}
- %System%\ms{random characters}ex{3 random characters}
- %Windows%\ms{random characters}es{3 random characters}
- %Windows%\ms{random characters}ex{3 random characters}
- %Windows%\{7 random characters}.tmp
- .m{2 random characters} files in %Windows%\AppPatch\Custom\
- .mow files in %Windows%\AppPatch\Custom\
- .tmp files in %Windows%\AppPatch\Custom\
- .tmp files in %Windows%\AppPatch\
- .xsl files in %Windows%\AppPatch\
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下のフォルダを削除します。
- %System Root%\RECYCLER
(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\Software\SoundResearch
UpdaterLastTimeChecked1 = 1
HKEY_LOCAL_MACHINE\Software\SoundResearch
UpdaterLastTimeChecked2 = 2
HKEY_LOCAL_MACHINE\Software\SoundResearch
UpdaterLastTimeChecked3 = 3
HKEY_LOCAL_MACHINE\Software\Microsoft\
DirectPlay8\Direct3D
{hex values} = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
Type = 32
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
ErrorControl = 1
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
DependOnService = FltMgr
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
DisplayName = Ms{Characters based on C: volume serial number}App
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
Description = Ms{Characters based on C: volume serial number}App
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
ObjectName = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
Group = UIGroup
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App\Parameters
ServiceMain = ServiceMain
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App\Parameters
ServiceDll = %System%\Ms{Characters based on C: volume serial number}App.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Svchost
netsvcs = {add "Ms{Characters based on C: volume serial number}App" among the list}
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
ImagePath = %System%\svchost.exe -k netsvcs
感染活動
マルウェアは、ワーム活動の機能を備えていません。
ルートキット機能
マルウェアは、ファイル、プロセスまたはレジストリ値を隠ぺいします。
情報漏えい
マルウェアは、以下の情報を収集します。
- Current Date
- MAC Address
- System's service pack
- Volume Serial-ID
その他
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\Software\SoundResearch
HKEY_LOCAL_MACHINE\Software\Microsoft\
DirectPlay8\Direct3D
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App\Parameters
マルウェアは、脆弱性を利用した感染活動を行いません。
注意:
マルウェアは、以下を実行します。
- 以下のレジストリエントリを変更/追加することにより、Windows Defender のスパイウェア対策を無効にします:
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender
- DisableAntiSpyware = 1
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows Defender
- DisableAntiSpyware = 1
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender
- 以下のレジストリエントリを変更/追加することにより、Windowsファイル保護を無効にします:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- SFCDisable = 4 → 有効化、ただしポップアップは無効にする
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- SFCScan = 0 → 起動時に保護されているファイルのスキャンを無効にする
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
- AllowProtectedRenames = 1
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- 自身のインストール後、ユーザにコンピュータを再起動するよう要求します。
- 以下のレジストリキーおよびエントリを追加し、セーフモード状態でもドライバーおよびDLL コンポーネントが自動実行されるようにします。
- HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001またはCurrentControlSet}\Control\SafeBoot\Minimal\Ms{C: ボリュームシリアルナンバーに基づいた文字}App
- (Default) = Service
- HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001またはCurrentControlSet}\Control\SafeBoot\Network\Ms{C: ボリュームシリアルナンバーに基づいた文字}App
- (Default) = Service
- HKEY_LOCAL_MACHINE\{ControlSet001またはCurrentControlSet}\Control\SafeBoot\Minimal\dump_{ランダムな16進文字列}
- (Default) = Service
- HKEY_LOCAL_MACHINE\{ControlSet001またはCurrentControlSet}\Control\SafeBoot\Network\dump_{ランダムな16進文字列}
- (Default) = Service
- HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001またはCurrentControlSet}\Control\SafeBoot\Minimal\Ms{C: ボリュームシリアルナンバーに基づいた文字}App
- 追加されたプロセス「svchost.exe -k LocalService」は、他のプロセス「svchost.exe -k NetworkService」のウォッチドッグとして機能します。逆の状態でも同様に機能します。
- 以下のファイルを検索して、メモリ内にシェルコードを読み込みます。
- %System%\svchost.exe -k LocalService:
- %Windows%\AppPatch\Ac{ランダムな8文字}.sdb
- %Windows%\AppPatch\Ke{ランダムな6文字}.xsl
- %System%\svchost.exe -k NetworkService:
- %Windows%\AppPatch\Custom\{ランダムな16進文字列}.moe
- %Windows%\AppPatch\Custom\{ランダムな16進文字列}.mow
- %System%\svchost.exe -k LocalService:
- カレントプロセスが「winlogon.exe」または 「svchost.exe」でない場合は、自身のペイロードを実行しません。
- 以下のURLにアクセスし、実際の時間を取得します。
- time.windows.com
- www.microsoft.com
- www.baidu.com
- 以下のURLにアクセスし、別のモジュールをダウンロードします。
- {BLOCKED}.{BLOCKED}.75.9:18035/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.206.5:14874/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.3.130:12314/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.32.126:11946/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.200.63:18126/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.194.121:11532/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.55.7:18488/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.154.13:11605/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.191.22:19400/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.125.106:20187/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.79.174:16509/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.0.101:19667/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED.107.227:17280/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED.194.245:17859/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED.218.214:16884/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED.184.43:12424/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.92.174:16514/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.145.190:18049/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.189.42:12147/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.50.202:19150/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.150.2:19955/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.165.80:17740/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.16.32:19214/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.31.157:14881/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.34.20:17171/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.188.205:19486/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.80.72:16950/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.201.102:19836/{ランダムな16進文字列}.moe {
- BLOCKED}.{BLOCKED}.20.37:10538/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.13.4:10395/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.80.115:10922/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.55.41:11713/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.94.196:18598/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.106.233:17470/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.86.137:13008/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.81.106:20171/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.196.152:14469/{ランダムな16進文字列}.moe
- {BLOCKED}.{BLOCKED}.64.170:16125/{ランダムな16進文字列}.moe
- ダウンロードされたモジュールは、%Windows%\AppPatch\Custom\{ランダムな16進文字列}.moeとして保存されます。
- マルウェアは、以下の Mutex を作成し、特定の不正活動の再実行を避けます。
- Global\RunWord{ランダムな16進文字列} → シェルコードの不正活動に対して
- Global\{C: ボリュームシリアルナンバーに基づいた文字}CSS → レジストリを作成する不正活動に対して
- Global\{C: ボリュームシリアルナンバーに基づいた文字}SetServiceX → プロセス「%System%\svchost.exe -k LocalService」を実行する不正活動に対して
- Global\{C: ボリュームシリアルナンバーに基づいた文字}SetService → プロセス「%System%\svchost.exe -k LocalService」を実行する不正活動に対して
- Global\{C: ボリュームシリアルナンバーに基づいた文字 → プロセス「%System%\svchost.exe -k NetworkService」を実行する不正活動に対して
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- %Windows%\AppPatch\Ke583427.xsl → シェルコード。「Trojan.Win32.FUPORPLEX.ENC」として検出
- 以下のいずれか: → winupdate32.log (OS がx32である場合), winupdate64.log (OSがx64である場合)
- %Windows%\sens.dll
- %Windows%\cscdll.dll
- 以下のいずれか:
- %Windows%\AppPatch\Acpsens.dll → 正規の「%Windows%\sens.dll」のコピー
- %Windows%\AppPatch\Acpcscdll.dll → 正規の「%Windows%\cscdll.dll」のコピー
- %Windows%\AppPatch\Ke{ランダムな数字6文字}.xsl → 「%Windows%\AppPatch\Ke583427.xsl」のコピー
- %Windows%\AppPatch\Ac{C: ボリュームシリアルナンバーに基づいた文字}.sdb →「%Windows%\AppPatch\Ke583427.xsl」のコピー
- %Windows%\AppPatch\Custom\{ランダムな7文字}.tmp →自身のコンポーネントのコピー
- %System%\Ms{C: ボリュームシリアルナンバーに基づいた文字}App.dll → 「Trojan.Win32.FUPORPLEX.AF」として検出
- %System%\drivers\(dump_{ランダムな16進文字列}.sys
他のシステム変更
マルウェアは、以下のファイルを削除します。
- 以下のいずれか:
- %Windows%\AppPatch\Acpsens.dll
- %Windows%\AppPatch\Acpcscdll.dll
- 以下のいずれか:
- %Windows%\sens.dll
- %Windows%\cscdll.dll
- %System%\Ms{C: ボリュームシリアルナンバーに基づいた文字}App.dll
- %System%\ms{ランダムな文字}es{ランダムな3文字}
- %System%\ms{ランダムな文字}ex{ランダムな3文字}
- %Windows%\ms{ランダムな文字}es{ランダムな3文字}
- %Windows%\ms{ランダムな文字}ex{ランダムな3文字}
- %Windows%\{ランダムな7文字}.tmp
- %Windows%\AppPatch\Custom\ 内の.m{ランダムな2文字}ファイル
- %Windows%\AppPatch\Custom\ 内の.mowファイル
- %Windows%\AppPatch\Custom\ 内の.tmpファイル
- %Windows%\AppPatch\ 内の.tmpファイル
- %Windows%\AppPatch\ 内の.xslファイル
情報漏えい
マルウェアは、以下の情報を収集します。
- 現在の日時
- MACのアドレス
- コンピュータのサービスパック
- ボリュームシリアルID
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF035
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\Software\SoundResearch
- UpdaterLastTimeChecked1 = 1
- UpdaterLastTimeChecked1 = 1
- In HKEY_LOCAL_MACHINE\Software\SoundResearch
- UpdaterLastTimeChecked2 = 2
- UpdaterLastTimeChecked2 = 2
- In HKEY_LOCAL_MACHINE\Software\SoundResearch
- UpdaterLastTimeChecked3 = 3
- UpdaterLastTimeChecked3 = 3
- In HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D
- {hex values} = {hex values}
- {hex values} = {hex values}
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
- Type = 32
- Type = 32
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
- Start = 2
- Start = 2
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
- ErrorControl = 1
- ErrorControl = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
- DependOnService = FltMgr
- DependOnService = FltMgr
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
- DisplayName = Ms{Characters based on C: volume serial number}App
- DisplayName = Ms{Characters based on C: volume serial number}App
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
- Description = Ms{Characters based on C: volume serial number}App
- Description = Ms{Characters based on C: volume serial number}App
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
- ObjectName = LocalSystem
- ObjectName = LocalSystem
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
- ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
- ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
- Group = UIGroup
- Group = UIGroup
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App\Parameters
- ServiceMain = ServiceMain
- ServiceMain = ServiceMain
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App\Parameters
- ServiceDll = %System%\Ms{Characters based on C: volume serial number}App.dll
- ServiceDll = %System%\Ms{Characters based on C: volume serial number}App.dll
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender
- DisableAntiSpyware = 1
- DisableAntiSpyware = 1
- In HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows Defender
- DisableAntiSpyware = 1
- DisableAntiSpyware = 1
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- SFCDisable = 4
- SFCDisable = 4
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- SFCScan = 0
- SFCScan = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
- AllowProtectedRenames = 1
- AllowProtectedRenames = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Minimal\Ms{Characters based on C: volume serial number}App
- (Default) = Service
- (Default) = Service
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Network\Ms{Characters based on C: volume serial number}App
- (Default) = Service
- (Default) = Service
- In HKEY_LOCAL_MACHINE\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Minimal\dump_{random hex strings}
- (Default) = Service
- (Default) = Service
- In HKEY_LOCAL_MACHINE\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Network\dump_{random hex strings}
- (Default) = Service
- (Default) = Service
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\Software\SoundResearch
- HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D\
- HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D\
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
- HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App\Parameters
- HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App\Parameters
- In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Minimal\Ms{Characters based on C: volume serial number}App
- HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Network\Ms{Characters based on C: volume serial number}App
- HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Network\Ms{Characters based on C: volume serial number}App
- In HKEY_LOCAL_MACHINE\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Minimal\dump_{random hex strings}
- HKEY_LOCAL_MACHINE\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Network\dump_{random hex strings}
- HKEY_LOCAL_MACHINE\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Network\dump_{random hex strings}
手順 6
以下のファイルを検索し削除します。
- %System%\Ms{Characters based on C: volume serial number}App.dll
- %Windows%\AppPatch\Ac{Characters based on C: volume serial number}.sdb
- %Windows%\AppPatch\Custom\{7 random characters}.tmp
- %Windows%\AppPatch\Custom\{random hex strings}.moe
- %Windows%\AppPatch\Ke{6 random numbers}.xsl
- %System%\drivers\dump_{random hex strings}.sys
手順 7
以下のフォルダを検索し削除します。
- %Program Files%\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
- %System%\RECYCLER
手順 8
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- if %Windows%\AppPatch\Acpsens.dll exists:
- restore %Windows%\sens.dll
- if %Windows%\AppPatch\Acpcscdll.dll exists:
- restore %Windows%\cscdll.dll
手順 9
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
- netsvcs = {a list of services}
- netsvcs = {a list of services}
手順 10
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Win32.FUPORPLEX.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください