INF_PHORPIEX.A 2016年10月6日
解析者: Pearl Charlaine Espejo
マルウェアタイプ: トロイの木馬型 破壊活動の有無: なし 暗号化: 感染報告の有無: はい マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェアは、ユーザがドライブにアクセスすると、ファイルを自動的に実行します。
侵入方法
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
variants of WORM_PHORPIEX 感染活動
上記INFファイルには、以下の文字列が含まれています。
{garbage} [autorun] {garbage} icon=%SystemRoot%\system32\SHELL32.dll,4 {garbage} action=Open folder to view files {garbage} shellexecute=Manager.bat {garbage} UseAutoPlay=1 {garbage}
その他
マルウェアは、ユーザがドライブにアクセスすると、以下のファイルを自動的に実行します。
{drive letter}:\Manager.bat 手順 1
Windows XP、Windows Vista および Windows 7 のユーザは 、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効 にしてください。
手順 2
「INF_PHORPIEX.A」で検出したファイル名を確認し、そのファイルを終了します。
[ 詳細 ]
[ 戻る ]
すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちら をご参照下さい。 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。 セーフモードについては、こちら をご参照下さい。 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。 マルウェアのプロセス終了:
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行し、検出したマルウェアのファイル名を確認し、メモ等をとってください。 タスクマネージャを起動します。 • Windows 2000、XP、Server 2003 、Vista、7 および Server 2008の場合 、CTRL+SHIFT+ESCを押し、[プロセス]タブをクリックします。 • Windows 8、8.1および Server 2012の場合 、 [詳細]タブをクリックします。 実行中のプログラムのリストから、上記で検出したマルウェアのファイルを選択します。 使用しているWindowsのバージョンに応じて、[タスクの終了]、または、[プロセスの終了]をクリックします。 同様の手順で、上記で確認したマルウェアのファイルをすべて終了してください。 マルウェアのプロセスが終了されているかを確認するには、タスクマネージャを閉じ、再度開いてください。 タスクマネージャを閉じてください。 手順 3
「INF_PHORPIEX.A」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
[ 詳細 ]
[ 戻る ]
{garbage} [autorun] {garbage} icon=%SystemRoot%\system32\SHELL32.dll,4 {garbage} action=Open folder to view files {garbage} shellexecute=Manager.bat {garbage} UseAutoPlay=1 {garbage}
作成された AUTORUN.INF の検索および削除 :
• Windows 2000、XP および Server 2003 の場合:
[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。 註:Windowsのバージョンによって異なります。 [ファイル名のすべてまたは一部]に以下を入力してください。 AUTORUN.INF [探す場所]の一覧から該当ドライブを選択し、[検索]を押します。 検索が終了したら、ファイルを選択し、メモ帳などテキストエディタを用いて開いてください。 以下の文字列が存在するか確認してください。 {garbage} [autorun] {garbage} icon=%SystemRoot%\system32\SHELL32.dll,4 {garbage} action=Open folder to view files {garbage} shellexecute=Manager.bat {garbage} UseAutoPlay=1 {garbage}
この文字列が存在する場合はファイルを削除してください。 他のリムーバブルドライブ内の残りの "AUTORUN.INF" についても、この手順3.)から6.)を繰り返してください。 [検索結果]画面を閉じてください。 • Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合:
Windowsエクスプローラ画面を開きます。 Windows Vista、7 および Server 2008 の場合: Windows 8、8.1 および Server 2012 の場合:画面の左下隅を右クリックし、[エクスプローラー]を選択します。 [コンピューターの検索]に、以下を入力してください。 AUTORUN.INF 検索が終了したら、ファイルを選択し、メモ帳などテキストエディタを用いて開いてください。 以下の文字列が存在するか確認してください。 {garbage} [autorun] {garbage} icon=%SystemRoot%\system32\SHELL32.dll,4 {garbage} action=Open folder to view files {garbage} shellexecute=Manager.bat {garbage} UseAutoPlay=1 {garbage}
この文字列が存在する場合はファイルを削除してください。 他のリムーバブルドライブ内の残りの "AUTORUN.INF" についても、この手順3.)から5.)を繰り返してください。 [検索結果]画面を閉じてください。 手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「INF_PHORPIEX.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください