Trend Micro Security

BKDR_PRORAT.BL

2013年10月11日
 更新者 : Rika Joi Gregorio

 別名:

Backdoor:Win32/Prorat.AH(Microsoft), Backdoor.Win32.Prorat(Ikarus), Win32/Prorat.NAH trojan(Eset)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。


  詳細

ファイルサイズ 445,096 bytes
タイプ DLL, EXE
メモリ常駐 はい
発見日 2013年4月8日

侵入方法

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

  • WORM_AUTORUN.RJG

インストール

マルウェアは、以下のファイルを作成します。

  • %System%\reginv.dll - already detected as BKDR_PRORAT.BL
  • %System%\winkey.dll - already detected as BKDR_PRORAT.BL

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

マルウェアは、以下のファイルを作成し実行します。

  • %Windows%\services.exe

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\sservice.exe
  • %System%\fservice.exe

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
csrss.exe = "%Windows%\ctfmon.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT Script Host

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT Script Host\Microsoft DxDiag

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT Script Host\Microsoft DxDiag\WinSettings

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random}
StubPath = "%System%\sservice.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
DirectX For Microsoft Windows = "%System%\fservice.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DependOnGroup = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Group = {null}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisallowRun = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun
1 = "ntbackup.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun
2 = "Regedit.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\DisallowRun
3 = "rstrui.exe"

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
DisableCMD = 1

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 2

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
Type = "By Rover"

(註:変更前の上記レジストリ値は、「checkbox」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type = "By Rover"

(註:変更前の上記レジストリ値は、「checkbox」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %System%\fservice.exe"

(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sr
Start = 4

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sr
ImagePath = "\SystemRoot\system32\DRIVERS\sr.sys"

(註:変更前の上記レジストリ値は、「system32\DRIVERS\sr.sys」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sr\Parameters
FirstRun = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice
Start = 4

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = 4

(註:変更前の上記レジストリ値は、「2」となります。)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Format Drives (C:\ and D:\)
  • Start or stop service
  • List directory
  • Shutdown system
  • Open or close CD Drive
  • Perform remote shell
  • Terminates process
  • Download and execute arbitrary files

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}.23.237:80/friendship/email_thank_you.php?folder_id={random digit}¶ms_count=0&nick_name=Pro_Rat&user_email=Pro_Rat@yahoo.com&user_uin=&friend_nickname=&friend_contact={random digit}&friend_nickname2=&friend_contact2=&x={random digit}&y={random digit}

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • WATCHDOG.EXE
  • WEBSCANX.EXE
  • WEBTRAP.EXE
  • WGFE95.EXE
  • WHOSWATCHINGME.EXE
  • WIMMUN32.EXE
  • WINRECON.EXE
  • WNT.EXE
  • WRADMIN.EXE
  • WRCTRL.EXE
  • WSBGATE.EXE
  • WYVERNWORKSFIREWALL.EXE
  • WrAdmin.EXE
  • WrCtrl.EXE
  • XPF202EN.EXE
  • ZAPRO.EXE
  • ZAPSETUP3001.EXE
  • ZATUTOR.EXE
  • ZAUINST.EXE
  • ZONALM2601.EXE
  • ZONEALARM.EXE
  • _AVPCC.EXE
  • _AVPM.EXE
  • agentw.EXE
  • apvxdwin.EXE
  • avkpop.EXE
  • avkservice.EXE
  • avkwctl9.EXE
  • avpm.EXE
  • blackd.EXE
  • ccApp.EXE
  • ccEvtMgr.EXE
  • ccPxySvc.EXE
  • cleaner.EXE
  • cleaner3.EXE
  • cpd.EXE
  • defalert.EXE
  • defscangui.EXE
  • f-stopw.EXE
  • fameh32.EXE
  • fch32.EXE
  • fih32.EXE
  • fnrb32.EXE
  • fsaa.EXE
  • fsav32.EXE
  • fsgk32.EXE
  • fsm32.EXE
  • fsma32.EXE
  • fsmb32.EXE
  • gbmenu.EXE
  • gbpoll.EXE
  • iamapp.EXE
  • iamserv.EXE
  • lockdown2000.EXE
  • navapsvc.EXE
  • nod32.exe
  • ACKWIN32.EXE
  • ADVXDWIN.EXE
  • AGENTSVR.EXE
  • ALERTSVC.EXE
  • ALOGSERV.EXE
  • AMON9X.EXE
  • ANTI-TROJAN.EXE
  • ANTIVIRUS.EXE
  • ANTS.EXE
  • APIMONITOR.EXE
  • APLICA32.EXE
  • APVXDWIN.EXE
  • ATCON.EXE
  • ATGUARD.EXE
  • ATRO55EN.EXE
  • ATUPDATER.EXE
  • ATWATCH.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOUPDATE.EXE
  • AVCONSOL.EXE
  • AVGCC32.EXE
  • AVGCTRL.EXE
  • AVGNT.EXE
  • AVGSERV.EXE
  • AVGSERV9.EXE
  • AVGUARD.EXE
  • AVGW.EXE
  • AVP.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPM.EXE
  • AVSYNMGR.EXE
  • AVWINNT.EXE
  • AVWUPSRV.EXE
  • AVXMONITOR9X.EXE
  • AVXMONITORNT.EXE
  • AVXQUAR.EXE
  • AVXW.EXE
  • AckWin32.EXE
  • AutoTrace.EXE
  • AvgServ.EXE
  • Avgctrl.EXE
  • AvkServ.EXE
  • Avsched32.EXE
  • BD_PROFESSIONAL.EXE
  • BIDEF.EXE
  • BIDSERVER.EXE
  • BIPCP.EXE
  • BIPCPEVALSETUP.EXE
  • BISP.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • BOOTWARN.EXE
  • BORG2.EXE
  • BS120.EXE
  • BlackICE.EXE
  • CDP.EXE
  • CFGWIZ.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFINET.EXE
  • CFINET32.EXE
  • CLAW95CF.EXE
  • CLEAN.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • CLEANPC.EXE
  • CMGRDIAN.EXE
  • CMON016.EXE
  • CONNECTIONMONITOR.EXE
  • CPD.EXE
  • CPF9X206.EXE
  • CPFNT206.EXE
  • CTRL.EXE
  • CV.EXE
  • CWNB181.EXE
  • CWNTDWMO.EXE
  • Claw95.EXE
  • Claw95cf.EXE
  • DEFWATCH.EXE
  • DEPUTY.EXE
  • DOORS.EXE
  • DPF.EXE
  • DPFSETUP.EXE
  • DRWATSON.EXE
  • DRWEB32.EXE
  • DVP95.EXE
  • DVP95_0.EXE
  • EFPEADM.EXE
  • ENT.EXE
  • ESCANH95.EXE
  • ESCANHNT.EXE
  • ESCANV95.EXE
  • ETRUSTCIPE.EXE
  • EVPN.EXE
  • EXANTIVIRUS-CNET.EXE
  • EXPERT.EXE
  • F-AGNT95.EXE
  • F-PROT.EXE
  • F-PROT95.EXE
  • F-STOPW.EXE
  • FAST.EXE
  • FIREWALL.EXE
  • FLOWPROTECTOR.EXE
  • FP-WIN.EXE
  • FP-WIN_TRIAL.EXE
  • FRW.EXE
  • FSAV.EXE
  • FSAV530STBYB.EXE
  • FSAV530WTBYB.EXE
  • FSAV95.EXE
  • GBMENU.EXE
  • GBPOLL.EXE
  • GENERICS.EXE
  • GUARD.EXE
  • GUARDDOG.EXE
  • HACKTRACERSETUP.EXE
  • HTLOG.EXE
  • HWPE.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • IAMSTATS.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFACE.EXE
  • IFW2000.EXE
  • IOMON98.EXE
  • IPARMOR.EXE
  • IRIS.EXE
  • ISRV95.EXE
  • JAMMER.EXE
  • JEDI.EXE
  • KAVLITE40ENG.EXE
  • KAVPERS40ENG.EXE
  • KAVPF.EXE
  • KERIO-PF-213-EN-WIN.EXE
  • KERIO-WRL-421-EN-WIN.EXE
  • KERIO-WRP-421-EN-WIN.EXE
  • KILLPROCESSSETUP161.EXE
  • LDNETMON.EXE
  • LDPRO.EXE
  • LDPROMENU.EXE
  • LDSCAN.EXE
  • LOCALNET.EXE
  • LOCKDOWN.EXE
  • LOCKDOWN2000.EXE
  • LSETUP.EXE
  • LUALL.EXE
  • LUAU.EXE
  • LUCOMSERVER.EXE
  • LUINIT.EXE
  • LUSPT.EXE
  • MCAGENT.EXE
  • MCMNHDLR.EXE
  • MCTOOL.EXE
  • MCUPDATE.EXE
  • MCVSRTE.EXE
  • MCVSSHLD.EXE
  • MFW2EN.EXE
  • MFWENG3.02D30.EXE
  • MGAVRTCL.EXE
  • MGAVRTE.EXE
  • MGHTML.EXE
  • MGUI.EXE
  • MINILOG.EXE
  • MONITOR.EXE
  • MOOLIVE.EXE
  • MPFAGENT.EXE
  • MPFSERVICE.EXE
  • MPFTRAY.EXE
  • MRFLUX.EXE
  • MSCONFIG.EXE
  • MSINFO32.EXE
  • MSSMMC32.EXE
  • MU0311AD.EXE
  • MWATCH.EXE
  • Mcshield.EXE
  • Monitor.EXE
  • NAV80TRY.EXE
  • NAVAPSVC.EXE
  • NAVAPW32.EXE
  • NAVDX.EXE
  • NAVLU32.EXE
  • NAVSTUB.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NC2000.EXE
  • NCINST4.EXE
  • NDD32.EXE
  • NEOMONITOR.EXE
  • NETARMOR.EXE
  • NETINFO.EXE
  • NETMON.EXE
  • NETSCANPRO.EXE
  • NETSPYHUNTER-1.2.EXE
  • NETSTAT.EXE
  • NETUTILS.EXE
  • NISSERV.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORMIST.EXE
  • NORTON_INTERNET_SECU_3.0_407.EXE
  • NPF40_TW_98_NT_ME_2K.EXE
  • NPFMESSENGER.EXE
  • NPROTECT.EXE
  • NPSSVC.EXE
  • NSCHED32.EXE
  • NTVDM.EXE
  • NTXconfig.EXE
  • NVARCH16.EXE
  • NVC95.EXE
  • NWINST4.EXE
  • NWService.EXE
  • NWTOOL16.EXE
  • Navw32.EXE
  • NeoWatchLog.EXE
  • Nui.EXE
  • Nupgrade.EXE
  • OSTRONET.EXE
  • OUTPOST.EXE
  • OUTPOSTINSTALL.EXE
  • OUTPOSTPROINSTALL.EXE
  • PADMIN.EXE
  • PANIXK.EXE
  • PAVPROXY.EXE
  • PCC2002S902.EXE
  • PCC2K_76_1436.EXE
  • PCCIOMON.EXE
  • PCCWIN98.EXE
  • PCDSETUP.EXE
  • PCFWALLICON.EXE
  • PCIP10117_0.EXE
  • PDSETUP.EXE
  • PERISCOPE.EXE
  • PERSFW.EXE
  • PERSWF.EXE
  • PF2.EXE
  • PFWADMIN.EXE
  • PINGSCAN.EXE
  • PLATIN.EXE
  • POP3TRAP.EXE
  • POPROXY.EXE
  • POPSCAN.EXE
  • PORTDETECTIVE.EXE
  • PORTMONITOR.EXE
  • PPINUPDT.EXE
  • PPTBC.EXE
  • PPVSTOP.EXE
  • PROCESSMONITOR.EXE
  • PROCEXPLORERV1.0.EXE
  • PROGRAMAUDITOR.EXE
  • PROPORT.EXE
  • PROTECTX.EXE
  • PSPF.EXE
  • PURGE.EXE
  • PVIEW95.EXE
  • Process
  • QCONSOLE.EXE
  • QSERVER.EXE
  • RAV7.EXE
  • RAV7WIN.EXE
  • RAV8WIN32ENG.EXE
  • REALMON.EXE
  • REGEDIT.EXE
  • REGEDT32.EXE
  • RESCUE.EXE
  • RESCUE32.EXE
  • RRGUARD.EXE
  • RSHELL.EXE
  • RTVSCN95.EXE
  • RULAUNCH.EXE
  • SAFEWEB.EXE
  • SBSERV.EXE
  • SCAN32.EXE
  • SCRSCAN.EXE
  • SD.EXE
  • SETUPVAMEEVAL.EXE
  • SETUP_FLOWPROTECTOR_US.EXE
  • SFC.EXE
  • SGSSFW32.EXE
  • SH.EXE
  • SHELLSPYINSTALL.EXE
  • SHN.EXE
  • SMC.EXE
  • SOFI.EXE
  • SPF.EXE
  • SPHINX.EXE
  • SPYXX.EXE
  • SS3EDIT.EXE
  • ST2.EXE
  • SUPFTRL.EXE
  • SUPPORTER5.EXE
  • SWEEP95.EXE
  • SWEEPSRV.SYS
  • SWNETSUP.EXE
  • SYMPROXYSVC.EXE
  • SYMTRAY.EXE
  • SYSEDIT.EXE
  • Sphinx.EXE
  • SweepNet
  • SymProxySvc.EXE
  • TASKMON.EXE
  • TAUMON.EXE
  • TC.EXE
  • TCA.EXE
  • TCM.EXE
  • TDS-3.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • TFAK.EXE
  • TFAK5.EXE
  • TGBOB.EXE
  • TITANIN.EXE
  • TITANINXP.EXE
  • TRACERT.EXE
  • TRJSCAN.EXE
  • TRJSETUP.EXE
  • TROJANTRAP3.EXE
  • UNDOBOOT.EXE
  • UPDATE.EXE
  • VBCMSERV.EXE
  • VBCONS.EXE
  • VBUST.EXE
  • VBWIN9X.EXE
  • VBWINNTW.EXE
  • VCSETUP.EXE
  • VET32.EXE
  • VET95.EXE
  • nod32krn.exe
  • nod32kui.exe
  • notstart.EXE
  • npscheck.EXE
  • ntrtscan.EXE
  • nvsvc32.EXE
  • pavproxy.EXE
  • pccntmon.EXE
  • pccwin97.EXE
  • pcscan.EXE
  • rapapp.EXE
  • rtvscan.EXE
  • sbserv.EXE
  • vbcmserv.EXE
  • vshwin32.EXE
  • vsmon.EXE
  • zapro.EXE
  • zonealarm.EXE
  • VETTRAY.EXE
  • VFSETUP.EXE
  • VIR-HELP.EXE
  • VIRUSMDPERSONALFIREWALL.EXE
  • VNLAN300.EXE
  • VNPC3000.EXE
  • VPC32.EXE
  • VPC42.EXE
  • VPFW30S.EXE
  • VPTRAY.EXE
  • VSCENU6.02D30.EXE
  • VSCHED.EXE
  • VSECOMR.EXE
  • VSISETUP.EXE
  • VSMAIN.EXE
  • VSMON.EXE
  • VSSTAT.EXE
  • VSWIN9XE.EXE
  • VSWINNTSE.EXE
  • VSWINPERSE.EXE
  • VbCons.EXE
  • Vet95.EXE
  • VetTray.EXE
  • W32DSM89.EXE
  • W9X.EXE

マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

  • McVSEscn
  • _avp
  • ackwin32
  • anti-trojan
  • aplica32
  • apvxdwin
  • autodown
  • avconsol
  • ave32
  • avgcc32
  • avgctrl
  • avgw
  • avkserv
  • avnt
  • avp
  • avsched32
  • avwin95
  • avwupd32
  • blackd
  • blackice
  • bootwarn
  • ccapp
  • ccshtdwn
  • cfiadmin
  • cfiaudit
  • cfind
  • cfinet
  • claw95
  • ecengine
  • efinet32
  • espwatch
  • f-agnt95
  • f-prot
  • f-prot95
  • f-stopw
  • findviru
  • fp-win
  • fprot
  • fprot95
  • frw
  • gibe
  • iamapp
  • iamserv
  • ibmasn
  • ibmavsp
  • icload95
  • icloadnt
  • icmon
  • icmoon
  • icssuppnt
  • icsupp
  • iface
  • iomon98
  • jedi
  • kpfw32
  • lockdown2000
  • lookout
  • luall
  • mcvsftsn
  • mcvsrte
  • mcvsshld
  • moolive
  • mpftray
  • msconfig
  • nai_vs_stat
  • navapw32
  • navlu32
  • navnt
  • navsched
  • navw
  • nisum
  • nmain
  • normist
  • nupdate
  • nupgrade
  • nvc95
  • outpost
  • padmin
  • pavcl
  • pavsched
  • pavw
  • pcciomon
  • pccmain
  • pccwin98
  • pcfwallicon
  • persfw
  • pop3trap
  • pview
  • rav
  • regedit
  • rescue
  • safeweb
  • serv95
  • sphinx
  • sweep
  • tca
  • tds2
  • vcleaner
  • vcontrol
  • vet32
  • vet95
  • vet98
  • vettray
  • vscan
  • vsecomr
  • vshwin32
  • vsstat
  • webtrap
  • wfindv32
  • zapro
  • zonealarm

情報収集

マルウェアは、SMTPを用いて、自身が収集した情報を以下のEメールアドレスに送信します。

  • {BLOCKED}at@yahoo.com


  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 8.776.04
初回 VSAPI パターンリリース日 2012年2月15日
VSAPI OPR パターンバージョン 8.777.00
VSAPI OPR パターンリリース日 2012年2月15日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「BKDR_PRORAT.BL」 を作成またはダウンロードする不正なファイルを削除します。

     
    • WORM_AUTORUN.RJG

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{random}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • DependOnGroup = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • Group = {null}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • csrss.exe = "%Windows%\ctfmon.exe"

手順 6

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: HideFileExt = 1
      To: HideFileExt = 0
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: ShowSuperHidden = 2
      To: ShowSuperHidden = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
    • From: Type = "By Rover"
      To: Type = checkbox
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
    • From: Type = "By Rover"
      To: Type = checkbox
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
    • From: DisableSR = 1
      To: DisableSR = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Shell = "Explorer.exe %System%\fservice.exe"
      To: Shell = Explorer.exe
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr
    • From: Start = 4
      To: Start = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr
    • From: ImagePath = "\SystemRoot\system32\DRIVERS\sr.sys"
      To: ImagePath = system32\DRIVERS\sr.sys
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters
    • From: FirstRun = 1
      To: FirstRun = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice
    • From: Start = 4
      To: Start = 2
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • From: Start = 4
      To: Start = 2

手順 7

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_PRORAT.BL」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください