Trend Micro Security

Ransom_Foreign.R002C0PJK19

2019年10月21日

 別名:

Trojan-FQKD!1615EF1440A8 (McAfee); Trojan-Ransom.Win32.Foreign.myji (Kaspersky); Troj/AutoG-A (Sophos)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染確認数:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。


  詳細

ファイルサイズ 1,654,785 bytes
タイプ EXE
メモリ常駐 はい
発見日 2019年10月21日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • "%Application Data%\RLVRM.exe"
  • %Application Data%\RLVRM.exe
  • "%Application Data%\Windows\winlogon.exe"
  • %Application Data%\Windows\winlogon.exe
  • netsh advfirewall firewall add rule name="ImgBurn" dir=in action=allow description="Multimedia suite" program="%Application Data%\Microsoft\lsass.exe" enable=yes
  • %Application Data%\Microsoft\lsass.exe /k %Application Data%\RLVRM.exe
  • %System%\reg.exe REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Defender" /t REG_SZ /d "%Application Data%\Windows\winlogon.exe" /f
  • %Program Files%\Internet Explorer\iexplore.exe
  • "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE"
  • "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:2944 CREDAT:275457 /prefetch:2

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\Microsoft\Windows\DNTException
  • %Application Data%\Windows
  • %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
  • %Application Data%\Microsoft\Windows\IECompatCache
  • %Application Data%\Microsoft\Windows\PrivacIE
  • %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
  • %Application Data%\Microsoft\Windows\IECompatUACache

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSWUpdate = "%Application Data%\Microsoft\lsass.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Defender = "%Application Data%\Windows\winlogon.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Zqucub = "%Application Data%\Zqucub.exe"

他のシステム変更

マルウェアは、以下のファイルを改変します。

  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml

マルウェアは、以下のファイルを削除します。

  • %AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
  • %Application Data%\Microsoft\haOqPtqmn.tmp

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
Microsoft\4842

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
Run
MSWUpdate = "%Application Data%\Microsoft\lsass.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
MSWUpdate = "%Application Data%\Microsoft\lsass.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows NT\CurrentVersion\
Winlogon
Userinit = "%System%\userinit.exe,%Application Data%\Microsoft\lsass.exe"

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
Microsoft\4842
F = "True"

マルウェアは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
MSWUpdate = "%Application Data%\Microsoft\lsass.exe"

作成活動

マルウェアは、以下のファイルを作成します。

  • %AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
  • %Application Data%\Microsoft\lsass.exe
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
  • %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{6014381E-95B7-11E9-BBC7-005056BC2F12}.dat
  • %Application Data%\Zqucub.exe
  • %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
  • %Application Data%\RLVRM.exe
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml
  • %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{60143820-95B7-11E9-BBC7-005056BC2F12}.dat
  • %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
  • %User Temp%\SWTHT.txt
  • %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{6CEB8477-95B7-11E9-BBC7-005056BC2F12}.dat
  • %Application Data%\Windows\winlogon.exe

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://www.{BLOCKED}ool.com
  • http://go.{BLOCKED}oft.com/fwlink/?LinkId=69157
  • http://www.{BLOCKED}n.com/?ocid=iehp
  • http://o.{BLOCKED}n.com/ads/adswrappermsni.js
  • http://static-global-s-msn-com.{BLOCKED}zed.net/{random path}?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpOUO.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIsMYX.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBTlBmQ.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBih5H.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAF8yQr.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/hp-wus/sc/ea/4996b9.woff
  • http://c.{BLOCKED}n.com/c.gif?{random characters}
  • http://www.{BLOCKED}n.com/en-us/homepage/irisbannerajax?{random characters}
  • http://c.{BLOCKED}g.com/c.gif?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/hp-wus/sc/c6/cfdbd9.png
  • http://at.{BLOCKED}a.com/{random path}
  • http://adserver.{BLOCKED}h.advertising.com/{random path}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ5MCQ.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBjLpNF.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBnGKDa.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ5fq0.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBPMoha.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIVtZ8.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBgjtLu.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIPHYS.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4GzA.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAkgetg.img?{random characters}
  • http://acdn.{BLOCKED}s.com/ast/ast.js
  • http://m.{BLOCKED}s.com/ut/v3
  • http://banner.{BLOCKED}ising.com/ads/msn3.html
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4nN4.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIW4nv.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBp3Aju.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AADKqaL.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA9YFNL.img?{random characters}
  • http://g.{BLOCKED}g.com/uac/request?{random characters}
  • http://g.{BLOCKED}g.com/uac/response?{random characters}
  • http://static.{BLOCKED}eat.com/js/{BLOCKED}eat.js
  • http://www.{BLOCKED}n.com/en-us/homepage/npsajax?ver=20191012_18886515
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ6erq.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4PDC.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIZNbV.img?{random characters}
  • http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAEHtW3.img?{random characters}
  • http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAyW7G9.img?{random characters}
  • http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AA565dd.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUDFrs.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBV4sWb.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUE38v.img?{random characters}
  • http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBTUVWY.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAILYH4.img?{random characters}
  • http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAyhxXG.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4DLc.img?{random characters}
  • http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BB1ba5a.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIM6SY.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ5Nk0.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIZpq7.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
  • http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBTg0rh.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4va1.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
  • http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AA8I0Dg.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4HjK.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4ED3.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIZgTI.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIZutN.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIWd3I.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4vhp.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAzMNAp.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIZbmj.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBz3ebk.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4zBc.img?{random characters}
  • http://eb2.{BLOCKED}t.com/mapuid?{random characters}
  • http://ping.{BLOCKED}eat.net/ping?{random characters}
  • http://cdn.{BLOCKED}a.com/TaboolaCookieSyncScript.js
  • http://widgets.{BLOCKED}in.com/external/publishers/msn/MSNIdSync.js
  • http://tag.{BLOCKED}p.advertising.com/{BLOCKED}p.js
  • http://ib.{BLOCKED}s.com/async_usersync_file
  • http://acdn.{BLOCKED}s.com/dmp/async_usersync.html
  • http://sync.{BLOCKED}in.com/uidmapjsonp?{random characters}
  • http://c.{BLOCKED}g.com/c.gif?Red3=MSOATH_pd
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBivDk7.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywSGf.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIPkYv.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA36Tom.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ68Yf.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywGC0.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ6Wxe.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AACl6Lf.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ70DU.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywOab.img?{random characters}
  • http://sync.{BLOCKED}trl.net/{random path}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ5AhM.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ5xw6.img?{random characters}
  • http://ib.{BLOCKED}s.com/async_usersync?cbfn=queuePixels
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ6gq2.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAG8j4I.img?{random characters}
  • http://cm.{BLOCKED}g.doubleclick.net/pixel?{random characters}
  • http://dis.{BLOCKED}o.com/dis/usersync.aspx?{random characters}
  • http://ib.{BLOCKED}s.com/setuid?{random characters}
  • http://sync.{BLOCKED}g.com/sync/img?{random characters}
  • http://m.{BLOCKED}s.com/seg?{random characters}
  • http://odr.{BLOCKED}1.com/t/v2/sync?{random characters}
  • http://match.{BLOCKED}r.org/track/cmf/generic?{random characters}
  • http://cms.{BLOCKED}erve.com/dpixel?{random characters}
  • http://m.{BLOCKED}s.com/mapuid?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAEqbfC.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AACl9Jk.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BByfcaT.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAyxkRJ.img?{random characters}
  • http://usw-lax.{BLOCKED}r.org/bid/feedback/appnexus?{random characters}
  • http://lax1-ib.{BLOCKED}s.com/it?{random characters}
  • http://c.{BLOCKED}d.com/surly.js?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4xMc.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBAq9.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAI5np8.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB1GufW.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBm8qVB.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAE0CNp.img?{random characters}
  • http://c.{BLOCKED}n.com/geo/ba.js?r181114
  • http://c.{BLOCKED}n.com/a/4.gif
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ2mVI.img?{random characters}
  • http://c.{BLOCKED}n.com/a/n/334/18029.js
  • http://js.{BLOCKED}s.com/thetradedeskv275874568748/moatad.js
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBV74yB.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ5YGZ.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIiTSN.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AABp9vq.img?{random characters}
  • http://c.{BLOCKED}n.com/a/COMMON.css?r=0.9138977356806529
  • http://c.{BLOCKED}n.com/icon/box_77_top-right.png
  • http://c.{BLOCKED}n.com/icon/c_30_us.png
  • http://l.{BLOCKED}d.com/{random path}?{random characters}
  • http://c.{BLOCKED}n.com/a/1.css?r=0.42611901257194096
  • http://tps30.{BLOCKED}verify.com/visit.js?{random characters}
  • http://lax1-ib.{BLOCKED}s.com/rd_log?{random characters}
  • http://acdn.{BLOCKED}s.com/dmp/async_usersync.html?{random characters}
  • http://c.{BLOCKED}n.com/a/COMMON.css?r=0.3244130118082339
  • http://c.{BLOCKED}n.com/a/6.css?r=0.03952489687199068
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4pkX.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAvcS6D.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ2Tiq.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ2ljQ.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBCleeG.img?{random characters}
  • http://cdn.{BLOCKED}s.com/v/s/174/trk.js
  • http://tps11000.{BLOCKED}verify.com/event.png?{random characters}
  • http://tps11031.{BLOCKED}verify.com/event.png?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AABDMZj.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ6Gwy.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUvpML.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIPXdJ.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBNvr53.img?{random characters}
  • http://lax1-ib.{BLOCKED}s.com/vevent?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ4jZv.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBm2Dvk.img?{random characters}
  • http://ib.{BLOCKED}s.com/async_usersync?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAISFNY.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAtKMMs.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGOxou.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBtOBsY.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAHg6LR.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAgi0nZ.img?{random characters}
  • http://pixel-sync.{BLOCKED}out.com/dmp/pixelSync?nid=84
  • http://pixel.{BLOCKED}d.com/idsync/appnexus/receivethenpush?adnxs_uid=4664712976370644647
  • http://pixel.{BLOCKED}d.com/idsync/ex/receive?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIiYFY.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIT170.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ6ai3.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ6FiI.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AACl4vY.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIw4NX.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIcVoM.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBLFv5R.img?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIORJQ.img?{random characters}
  • http://www.{BLOCKED}n.com/en-us/homepage/api/pagedatarequest?{random characters}
  • http://insight.{BLOCKED}r.org/enduser/moat/?{random characters}
  • http://insight.{BLOCKED}r.org/enduser/pie/?{random characters}
  • http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAISDbZ.img?{random characters}
  • http://{BLOCKED}ool.com
  • http://maid.{BLOCKED}p.biz
  • http://api.{BLOCKED}g.com
  • http://www.{BLOCKED}g.com
  • http://linkmaker.{BLOCKED}s.apple.com
  • http://sb.{BLOCKED}ardresearch.com
  • http://web.{BLOCKED}x.data.msn.com
  • http://cms.{BLOCKED}ics.yahoo.com
  • http://hvtd.{BLOCKED}3.amazonaws.com
  • http://widgets.{BLOCKED}e.com
  • http://contextual.{BLOCKED}a.net
  • http://login.{BLOCKED}e.com
  • http://px.{BLOCKED}s.linkedin.com
  • http://www.{BLOCKED}in.com
  • http://www.{BLOCKED}tagservices.com
  • http://lt-external-widgets.{BLOCKED}3.amazonaws.com
  • http://cdnjs.{BLOCKED}lare.com
  • http://p.{BLOCKED}totic.com
  • http://www.{BLOCKED}tagmanager.com
  • http://tag.{BLOCKED}c.analytics.yahoo.com
  • http://srtb.{BLOCKED}n.com
  • http://hbx.{BLOCKED}a.net
  • http://pr-bh.{BLOCKED}p.yahoo.com
  • http://lg3.{BLOCKED}a.net
  • http://gum.{BLOCKED}o.com
  • http://x.{BLOCKED}tch.net
  • http://b1sync.{BLOCKED}a.com
  • http://loadus.{BLOCKED}or.com
  • http://id.{BLOCKED}m.com
  • http://idsync.{BLOCKED}n.com
  • http://aa.{BLOCKED}n.com
  • http://tags.{BLOCKED}i.com
  • http://{BLOCKED}k.com
  • http://dpm.{BLOCKED}x.net
  • http://ps.{BLOCKED}a.net
  • http://px.{BLOCKED}inks.com
  • http://sync-jp.{BLOCKED}s.net
  • http://dsp.{BLOCKED}1.adition.com
  • http://cd.{BLOCKED}p.com
  • http://{BLOCKED}4.com
  • http://{BLOCKED}o.com
  • http://e.{BLOCKED}x.addthis.com
  • http://hblg.{BLOCKED}a.net
  • http://stags.{BLOCKED}i.com
  • http://service.{BLOCKED}c.analytics.yahoo.com
  • http://x.{BLOCKED}x.addthis.com
  • http://res.{BLOCKED}a.net
  • http://cvision.{BLOCKED}a.net
  • http://pix.{BLOCKED}s.criteo.net
  • http://cat.{BLOCKED}a.us.criteo.com
  • http://ads.{BLOCKED}a.com
  • http://rtb.{BLOCKED}vr.com
  • http://dmp.{BLOCKED}ik.com
  • http://unilever2.{BLOCKED}x.net
  • http://cdn.{BLOCKED}verify.com
  • http://sqm.{BLOCKED}try.microsoft.com
  • http://cache-ssl.{BLOCKED}a.com
  • http://secure-gl.{BLOCKED}ldwide.com
  • http://www.{BLOCKED}ok.com
  • http://geo.{BLOCKED}s.com
  • http://px.{BLOCKED}s.com
  • http://track.{BLOCKED}a.com
  • http://mb.{BLOCKED}s.com
  • http://ieonline.{BLOCKED}oft.com
  • http://swc.{BLOCKED}n.skype.com
  • http://config.{BLOCKED}e.skype.com
  • http://a.{BLOCKED}w.skype.com
  • http://browser.{BLOCKED}e.aria.microsoft.com

このウイルス情報は、自動解析システムにより作成されました。


  対応方法

対応検索エンジン: 9.850

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

「Ransom_Foreign.R002C0PJK19」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

レジストリエディタおよびタスクマネージャ、フォルダオプションの機能を有効にします。

[ 詳細 ]
この手順により、このマルウェアが無効にした他のアプリケーションまたはプログラムの機能も有効になります。

手順 5

不明なレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • Run
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • Run
  • In HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft
    • 4842

手順 6

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • MSWUpdate = "%Application Data%\Microsoft\lsass.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Windows Defender = "%Application Data%\Windows\winlogon.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Zqucub = "%Application Data%\Zqucub.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    • MSWUpdate = "%Application Data%\Microsoft\lsass.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
    • MSWUpdate = "%Application Data%\Microsoft\lsass.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Userinit = "%System%\userinit.exe,%Application Data%\Microsoft\lsass.exe"
  • In HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft\4842
    • F = "True"

手順 7

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
  • %Application Data%\Microsoft\lsass.exe
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
  • %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{6014381E-95B7-11E9-BBC7-005056BC2F12}.dat
  • %Application Data%\Zqucub.exe
  • %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
  • %Application Data%\RLVRM.exe
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml
  • %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{60143820-95B7-11E9-BBC7-005056BC2F12}.dat
  • %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
  • %User Temp%\SWTHT.txt
  • %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{6CEB8477-95B7-11E9-BBC7-005056BC2F12}.dat
  • %Application Data%\Windows\winlogon.exe

手順 8

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Application Data%\Microsoft\Windows\DNTException
  • %Application Data%\Windows
  • %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
  • %Application Data%\Microsoft\Windows\IECompatCache
  • %Application Data%\Microsoft\Windows\PrivacIE
  • %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
  • %Application Data%\Microsoft\Windows\IECompatUACache

手順 9

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom_Foreign.R002C0PJK19」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 11

以下のファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml

手順 12

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • %AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
  • %Application Data%\Microsoft\haOqPtqmn.tmp


ご利用はいかがでしたか? アンケートにご協力ください