Trend Micro Security

PUA.MSIL.PCGoldOptimizer.A

2020年6月7日
 プラットフォーム:

Windows

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: 潜在的に迷惑なアプリケーション
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 3,112,448 bytes
タイプ EXE
メモリ常駐 はい
発見日 2020年6月7日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のプロセスを追加します。

  • %SystemRoot%\SYSTEM32\WISPTIS.EXE /ManualLaunch;
  • %User Temp%\PC Gold.exe Arguments

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

自動実行方法

プログラムは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
PC Gold = "%User Temp%\PC Gold.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
PC Gold = "%User Temp%\PC Gold.exe"

他のシステム変更

プログラムは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\PCGold\
Protection
Condition = "Trial"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Install = "06/02/2020"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Expire = "21/02/2020"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Scantime = "off"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Scantimeclean = "off"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Scantimeb = "off"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Scantimecleanb = "off"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Trialmess1 = "off"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Trialmess2 = "off"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Notification32 = "Off"

HKEY_CURRENT_USER\Software\PCGold\
Protection
trayNotification = "on"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Schedual = "Daily"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Schedualtime = "1"

HKEY_CURRENT_USER\Software\PCGold\
Protection
demotest = "notupdate"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Installsend = "off"

HKEY_CURRENT_USER\Software\PCGold\
Protection
Mac = "005056BC5B9B"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Touch
TouchGate = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\MultiTouch
MultiTouchEnabled = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
FlickMode = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
TouchFlickTolerance = "50"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
FlickTolerance = "50"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
UICursorMode = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
UIFeedbackMode = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
ShakeAngle = "10"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
ShakeRate = "2280"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
ShakeSize = "4"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
ShakeCount = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
ShakeTime = "100"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
HoverLimit = "15"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
Splash = "50"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
Cancel = "10"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
Move = "40"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
DblDist = "15"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
HoverCount = "6"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
DblTime = "800"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
LagTime = "30"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
TapTime = "100"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
WaitTime = "300"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
OpenTime = "300"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
HoldTime = "2300"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
CloseTime = "500"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
SingleTapMode = "2"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
DoubleTapMode = "2"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
HoldMode = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
MouseInputResolutionX = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
MouseInputResolutionY = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
MouseInputFrequency = "33"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
SguiMode = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
EraseEnable = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
RightMaskEnable = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\SysEventParameters
ShakeEnable = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\Persist\
0\1
HidCursorName = "Mouse"

HKEY_CURRENT_USER\Software\Microsoft\
Wisp\Pen\Persist\
0
type = "3"

このウイルス情報は、自動解析システムにより作成されました。

  対応方法

対応検索エンジン: 9.850

手順 1

Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

「PUA.MSIL.PCGoldOptimizer.A」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • PC Gold = "%User Temp%\PC Gold.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • PC Gold = "%User Temp%\PC Gold.exe"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Condition = "Trial"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Install = "06/02/2020"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Expire = "21/02/2020"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Scantime = "off"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Scantimeclean = "off"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Scantimeb = "off"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Scantimecleanb = "off"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Trialmess1 = "off"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Trialmess2 = "off"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Notification32 = "Off"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • trayNotification = "on"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Schedual = "Daily"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Schedualtime = "1"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • demotest = "notupdate"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Installsend = "off"
  • In HKEY_CURRENT_USER\Software\PCGold\Protection
    • Mac = "005056BC5B9B"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Touch
    • TouchGate = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\MultiTouch
    • MultiTouchEnabled = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • FlickMode = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • TouchFlickTolerance = "50"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • FlickTolerance = "50"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • UICursorMode = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • UIFeedbackMode = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • ShakeAngle = "10"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • ShakeRate = "2280"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • ShakeSize = "4"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • ShakeCount = "3"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • ShakeTime = "100"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • HoverLimit = "15"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • Splash = "50"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • Cancel = "10"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • Move = "40"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • DblDist = "15"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • HoverCount = "6"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • DblTime = "800"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • LagTime = "30"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • TapTime = "100"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • WaitTime = "300"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • OpenTime = "300"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • HoldTime = "2300"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • CloseTime = "500"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • SingleTapMode = "2"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • DoubleTapMode = "2"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • HoldMode = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • MouseInputResolutionX = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • MouseInputResolutionY = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • MouseInputFrequency = "33"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • SguiMode = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • EraseEnable = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • RightMaskEnable = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\SysEventParameters
    • ShakeEnable = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\Persist\0\1
    • HidCursorName = "Mouse"
  • In HKEY_CURRENT_USER\Software\Microsoft\Wisp\Pen\Persist\0
    • type = "3"

手順 5

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PUA.MSIL.PCGoldOptimizer.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください