TROJ_AGENT_011979.TOMB
2012年10月13日
別名:
Trojan:Win32/Soriam.A (Microsoft); Generic-FAEK!53DBA5D3BFD2 (McAfee); W32.Tapin (Symantec); Trojan.Win32.KillFiles.ckt (Kaspersky); Trojan.Win32.Generic!BT (Sunbelt); Gen:Win32.FileInfector.GKW@a8m0Lvmi (FSecure)
プラットフォーム:
Windows 2000, Windows XP, Windows Server 2003
危険度:
ダメージ度:
感染力:
感染確認数:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ファイルを改変します。これにより、該当プログラムおよびアプリケーションが正しく実行されなくなります。
詳細
ファイルサイズ 533,504 bytes
タイプ EXE
メモリ常駐 なし
発見日 2012年6月21日
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
マルウェアは、以下のファイルを改変します。
- %Windows%\hh.exe
- %Windows%\NOTEPAD.EXE
- %Windows%\regedit.exe
- %Windows%\TASKMAN.EXE
- %Windows%\twunk_16.exe
- %Windows%\twunk_32.exe
- %Windows%\winhelp.exe
- %Windows%\winhlp32.exe
- %Windows%\Help\Tours\mmTour\tour.exe
- %Windows%\msagent\agentsvr.exe
- %Windows%\mui\muisetup.exe
- %Windows%\pchealth\helpctr\binaries\HelpCtr.exe
- %Windows%\pchealth\helpctr\binaries\HelpHost.exe
- %Windows%\pchealth\helpctr\binaries\HelpSvc.exe
- %Windows%\pchealth\helpctr\binaries\HscUpd.exe
- %Windows%\pchealth\helpctr\binaries\msconfig.exe
- %Windows%\pchealth\helpctr\binaries\notiflag.exe
- %Windows%\pchealth\UploadLB\Binaries\UploadM.exe
- %System%\accwiz.exe
- %Program Files%\Common Files\Microsoft Shared\Stationery\Clear Day Bkgrd.jpg
- %Program Files%\Common Files\Microsoft Shared\Stationery\Leaves Bkgrd.jpg
- %Program Files%\Common Files\Microsoft Shared\Stationery\Maize Bkgrd.jpg
- %Program Files%\Common Files\Microsoft Shared\Stationery\Nature Bkgrd.jpg
- %Program Files%\Common Files\Microsoft Shared\Stationery\Sunflower Bkgrd.jpg
- %Program Files%\Movie Maker\Shared\Sample1.jpg
- %Program Files%\Movie Maker\Shared\Sample2.jpg
- %Windows%\Help\Tours\htmlTour\best_road_big.jpg
- %Windows%\Help\Tours\htmlTour\best_robust_big.jpg
- %Windows%\Help\Tours\htmlTour\best_secure_big.jpg
- %Windows%\Help\Tours\htmlTour\connected_data_big.jpg
- %Windows%\Help\Tours\htmlTour\connected_multiple_big.jpg
- %Windows%\Help\Tours\htmlTour\connected_networks_big.jpg
- %Windows%\Help\Tours\htmlTour\connected_wizard_big.jpg
- %Windows%\Help\Tours\htmlTour\desktop_screen_shot.jpg
- %Windows%\Help\Tours\htmlTour\img004b.jpg
- %Windows%\Help\Tours\htmlTour\img014.jpg
- %Windows%\Help\Tours\htmlTour\img033.jpg
- %Windows%\Help\Tours\htmlTour\img033a.jpg
- %Windows%\Help\Tours\htmlTour\img034.jpg
- %Windows%\Help\Tours\htmlTour\img040.jpg
- %Windows%\Help\Tours\htmlTour\img046.jpg
- %Windows%\Help\Tours\htmlTour\img060.jpg
- %Windows%\Help\Tours\htmlTour\img068.jpg
- %Windows%\Help\Tours\htmlTour\img072.jpg
- %Windows%\Help\Tours\htmlTour\img074a.jpg
- %Windows%\Help\Tours\htmlTour\img089.jpg
- %Windows%\Help\Tours\htmlTour\img100.jpg
- %Windows%\Help\Tours\htmlTour\img103.jpg
- %Windows%\Help\Tours\htmlTour\img109.jpg
- %Windows%\Help\Tours\htmlTour\img110.jpg
- %Windows%\Help\Tours\htmlTour\img116.jpg
- %Windows%\Help\Tours\htmlTour\img121.jpg
- %Windows%\Help\Tours\htmlTour\img123.jpg
- %Windows%\Help\Tours\htmlTour\img126.jpg
- %Windows%\Help\Tours\htmlTour\img136.jpg
- %Windows%\Help\Tours\htmlTour\img149.jpg
- %Windows%\Help\Tours\htmlTour\intro_logo.jpg
- %Windows%\Help\Tours\htmlTour\logo.jpg
- %Windows%\Help\Tours\htmlTour\safe_easy_better_big.jpg
- %Windows%\Help\Tours\htmlTour\safe_easy_easier_big.jpg
- %Windows%\Help\Tours\htmlTour\safe_easy_faster_big.jpg
- %Windows%\Help\Tours\htmlTour\ul_logo.jpg
- %Windows%\Help\Tours\htmlTour\unlock_built_big.jpg
- %Windows%\Help\Tours\htmlTour\unlock_optimized_big.jpg
- %Windows%\Help\Tours\htmlTour\unlock_playing_big.jpg
- %Windows%\pchealth\helpctr\System\DVDUpgrd\stripe.jpg
- %System%\oobe\html\mouse\images\bulzano.jpg
- %System%\oobe\html\mouse\images\bulzanom.jpg
- %System%\oobe\html\mouse\images\heidelb.jpg
- %System%\oobe\html\mouse\images\heidelbm.jpg
- %System%\oobe\html\mouse\images\paris.jpg
- %System%\oobe\html\mouse\images\parism.jpg
- %System%\oobe\html\mouse\images\pisa.jpg
- %System%\oobe\html\mouse\images\pisam.jpg
- %System%\oobe\html\mouse\images\prague.jpg
- %System%\oobe\html\mouse\images\praguem.jpg
- %System%\oobe\html\mouse\images\tyrol.jpg
- %System%\oobe\html\mouse\images\tyrolm.jpg
- %System%\oobe\html\mouse\images\venice.jpg
- %System%\oobe\html\mouse\images\venicem.jpg
- %System%\oobe\html\mouse\images\verona.jpg
- %System%\oobe\html\mouse\images\veronam.jpg
- %System%\oobe\images\newmark1.jpg
- %System%\oobe\images\newmark8.jpg
- %System%\oobe\images\wpaback.jpg
- %System%\oobe\images\wpakey.jpg
- %Windows%\Web\Wallpaper\Ascent.jpg
- %Windows%\Web\Wallpaper\Autumn.jpg
- %Windows%\Web\Wallpaper\Azul.jpg
- %Windows%\Web\Wallpaper\Crystal.jpg
- %Windows%\Web\Wallpaper\Follow.jpg
- %Windows%\Web\Wallpaper\Friend.jpg
- %Windows%\Web\Wallpaper\Home.jpg
- %Windows%\Web\Wallpaper\Moon flower.jpg
- %Windows%\Web\Wallpaper\Peace.jpg
- %Windows%\Web\Wallpaper\Power.jpg
- %Windows%\Web\Wallpaper\Purple flower.jpg
- %Windows%\Web\Wallpaper\Radiance.jpg
- %Windows%\Web\Wallpaper\Red moon desert.jpg
- %Windows%\Web\Wallpaper\Ripple.jpg
- %Windows%\Web\Wallpaper\Stonehenge.jpg
- %Windows%\Web\Wallpaper\Tulips.jpg
- %Windows%\Web\Wallpaper\Vortec space.jpg
- %Windows%\Web\Wallpaper\Wind.jpg
- %Windows%\Web\Wallpaper\Windows XP.jpg
- %Program Files%\Windows NT\Pinball\table.bmp
- %Windows%\Coffee Bean.bmp
- %Windows%\FeatherTexture.bmp
- %Windows%\Gone Fishing.bmp
- %Windows%\Greenstone.bmp
- %Windows%\Prairie Wind.bmp
- %Windows%\Rhododendron.bmp
- %Windows%\River Sumida.bmp
- %Windows%\Santa Fe Stucco.bmp
- %Windows%\Soap Bubbles.bmp
- %Windows%\winnt.bmp
- %Windows%\winnt256.bmp
- %Windows%\pchealth\helpctr\System\blurbs\watermark_300x.bmp
- %System%\setup.bmp
- %Windows%\Web\Wallpaper\Bliss.bmp
(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Program Files%は、標準設定では "C:\Program Files" です。)
作成活動
マルウェアは、以下のファイルを作成します。
- %User Profile%\Application Data\Gallery.exe
- %System Root%\vcredist_x86.exe
- %System Root%\gvcredist_x86.ico
- %Desktop%\vcredist_x86.exe
- %Desktop%\gvcredist_x86.ico
- %Desktop%\WinPcap_4_1_2.exe
- %Desktop%\gWinPcap_4_1_2.ico
- %Windows%\ghh.ico
- %Windows%\gNOTEPAD.ico
- %Windows%\gregedit.ico
- %Windows%\gTASKMAN.ico
- %Windows%\gtwunk_16.ico
- %Windows%\gtwunk_32.ico
- %Windows%\gwinhelp.ico
- %Windows%\gwinhlp32.ico
- %Windows%\Help\Tours\mmTour\gtour.ico
- %Windows%\msagent\gagentsvr.ico
- %Windows%\mui\gmuisetup.ico
- %Windows%\pchealth\helpctr\binaries\gHelpCtr.ico
- %Windows%\pchealth\helpctr\binaries\gHelpHost.ico
- %Windows%\pchealth\helpctr\binaries\gHelpSvc.ico
- %Windows%\pchealth\helpctr\binaries\gHscUpd.ico
- %Windows%\pchealth\helpctr\binaries\gmsconfig.ico
- %Windows%\pchealth\helpctr\binaries\gnotiflag.ico
- %Windows%\pchealth\UploadLB\Binaries\gUploadM.ico
- %System%\gaccwiz.ico
- %Temp%\00003bcd\cacheMod.exe
- %Temp%\00003bcd\gcacheMod.ico
- %User Profile%\Sample Pictures\Blue hills.jpg
- %User Profile%\Sample Pictures\Sunset.jpg
- %User Profile%\Sample Pictures\Water lilies.jpg
- %User Profile%\Sample Pictures\Winter.jpg
- %Temp%\00003bcd\1031.bmp
- %Temp%\00003bcd\1033.bmp
- %Temp%\00003bcd\1034.bmp
- %Temp%\00003bcd\1036.bmp
- %Temp%\00003bcd\1040.bmp
- %Temp%\00003bcd\1041.bmp
- %Temp%\00003bcd\2052.bmp
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Desktop%フォルダは、Windows 98 および MEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\デスクトップ" です。 Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\デスクトップ"、Windows 2000、XP、Server 2003の場合は "C:\Documents and Settings\<ユーザ名>\デスクトップ" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Temp%は、<Windows Temporary フォルダ>のことで、標準設定では "C:\WINNT\Temp" または "C:\Windows\Temp" です。)
このウイルス情報は、自動解析システムにより作成されました。
対応方法
対応検索エンジン: 9.200
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
以下のファイルを検索し削除します。
[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - %User Profile%\Application Data\Gallery.exe
- %System Root%\vcredist_x86.exe
- %System Root%\gvcredist_x86.ico
- %Desktop%\vcredist_x86.exe
- %Desktop%\gvcredist_x86.ico
- %Desktop%\WinPcap_4_1_2.exe
- %Desktop%\gWinPcap_4_1_2.ico
- %Windows%\ghh.ico
- %Windows%\gNOTEPAD.ico
- %Windows%\gregedit.ico
- %Windows%\gTASKMAN.ico
- %Windows%\gtwunk_16.ico
- %Windows%\gtwunk_32.ico
- %Windows%\gwinhelp.ico
- %Windows%\gwinhlp32.ico
- %Windows%\Help\Tours\mmTour\gtour.ico
- %Windows%\msagent\gagentsvr.ico
- %Windows%\mui\gmuisetup.ico
- %Windows%\pchealth\helpctr\binaries\gHelpCtr.ico
- %Windows%\pchealth\helpctr\binaries\gHelpHost.ico
- %Windows%\pchealth\helpctr\binaries\gHelpSvc.ico
- %Windows%\pchealth\helpctr\binaries\gHscUpd.ico
- %Windows%\pchealth\helpctr\binaries\gmsconfig.ico
- %Windows%\pchealth\helpctr\binaries\gnotiflag.ico
- %Windows%\pchealth\UploadLB\Binaries\gUploadM.ico
- %System%\gaccwiz.ico
- %Temp%\00003bcd\cacheMod.exe
- %Temp%\00003bcd\gcacheMod.ico
- %User Profile%\Sample Pictures\Blue hills.jpg
- %User Profile%\Sample Pictures\Sunset.jpg
- %User Profile%\Sample Pictures\Water lilies.jpg
- %User Profile%\Sample Pictures\Winter.jpg
- %Temp%\00003bcd\1031.bmp
- %Temp%\00003bcd\1033.bmp
- %Temp%\00003bcd\1034.bmp
- %Temp%\00003bcd\1036.bmp
- %Temp%\00003bcd\1040.bmp
- %Temp%\00003bcd\1041.bmp
- %Temp%\00003bcd\2052.bmp
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_AGENT_011979.TOMB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 4
以下のファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %Windows%\hh.exe
- %Windows%\NOTEPAD.EXE
- %Windows%\regedit.exe
- %Windows%\TASKMAN.EXE
- %Windows%\twunk_16.exe
- %Windows%\twunk_32.exe
- %Windows%\winhelp.exe
- %Windows%\winhlp32.exe
- %Windows%\Help\Tours\mmTour\tour.exe
- %Windows%\msagent\agentsvr.exe
- %Windows%\mui\muisetup.exe
- %Windows%\pchealth\helpctr\binaries\HelpCtr.exe
- %Windows%\pchealth\helpctr\binaries\HelpHost.exe
- %Windows%\pchealth\helpctr\binaries\HelpSvc.exe
- %Windows%\pchealth\helpctr\binaries\HscUpd.exe
- %Windows%\pchealth\helpctr\binaries\msconfig.exe
- %Windows%\pchealth\helpctr\binaries\notiflag.exe
- %Windows%\pchealth\UploadLB\Binaries\UploadM.exe
- %System%\accwiz.exe
- %Program Files%\Common Files\Microsoft Shared\Stationery\Clear Day Bkgrd.jpg
- %Program Files%\Common Files\Microsoft Shared\Stationery\Leaves Bkgrd.jpg
- %Program Files%\Common Files\Microsoft Shared\Stationery\Maize Bkgrd.jpg
- %Program Files%\Common Files\Microsoft Shared\Stationery\Nature Bkgrd.jpg
- %Program Files%\Common Files\Microsoft Shared\Stationery\Sunflower Bkgrd.jpg
- %Program Files%\Movie Maker\Shared\Sample1.jpg
- %Program Files%\Movie Maker\Shared\Sample2.jpg
- %Windows%\Help\Tours\htmlTour\best_road_big.jpg
- %Windows%\Help\Tours\htmlTour\best_robust_big.jpg
- %Windows%\Help\Tours\htmlTour\best_secure_big.jpg
- %Windows%\Help\Tours\htmlTour\connected_data_big.jpg
- %Windows%\Help\Tours\htmlTour\connected_multiple_big.jpg
- %Windows%\Help\Tours\htmlTour\connected_networks_big.jpg
- %Windows%\Help\Tours\htmlTour\connected_wizard_big.jpg
- %Windows%\Help\Tours\htmlTour\desktop_screen_shot.jpg
- %Windows%\Help\Tours\htmlTour\img004b.jpg
- %Windows%\Help\Tours\htmlTour\img014.jpg
- %Windows%\Help\Tours\htmlTour\img033.jpg
- %Windows%\Help\Tours\htmlTour\img033a.jpg
- %Windows%\Help\Tours\htmlTour\img034.jpg
- %Windows%\Help\Tours\htmlTour\img040.jpg
- %Windows%\Help\Tours\htmlTour\img046.jpg
- %Windows%\Help\Tours\htmlTour\img060.jpg
- %Windows%\Help\Tours\htmlTour\img068.jpg
- %Windows%\Help\Tours\htmlTour\img072.jpg
- %Windows%\Help\Tours\htmlTour\img074a.jpg
- %Windows%\Help\Tours\htmlTour\img089.jpg
- %Windows%\Help\Tours\htmlTour\img100.jpg
- %Windows%\Help\Tours\htmlTour\img103.jpg
- %Windows%\Help\Tours\htmlTour\img109.jpg
- %Windows%\Help\Tours\htmlTour\img110.jpg
- %Windows%\Help\Tours\htmlTour\img116.jpg
- %Windows%\Help\Tours\htmlTour\img121.jpg
- %Windows%\Help\Tours\htmlTour\img123.jpg
- %Windows%\Help\Tours\htmlTour\img126.jpg
- %Windows%\Help\Tours\htmlTour\img136.jpg
- %Windows%\Help\Tours\htmlTour\img149.jpg
- %Windows%\Help\Tours\htmlTour\intro_logo.jpg
- %Windows%\Help\Tours\htmlTour\logo.jpg
- %Windows%\Help\Tours\htmlTour\safe_easy_better_big.jpg
- %Windows%\Help\Tours\htmlTour\safe_easy_easier_big.jpg
- %Windows%\Help\Tours\htmlTour\safe_easy_faster_big.jpg
- %Windows%\Help\Tours\htmlTour\ul_logo.jpg
- %Windows%\Help\Tours\htmlTour\unlock_built_big.jpg
- %Windows%\Help\Tours\htmlTour\unlock_optimized_big.jpg
- %Windows%\Help\Tours\htmlTour\unlock_playing_big.jpg
- %Windows%\pchealth\helpctr\System\DVDUpgrd\stripe.jpg
- %System%\oobe\html\mouse\images\bulzano.jpg
- %System%\oobe\html\mouse\images\bulzanom.jpg
- %System%\oobe\html\mouse\images\heidelb.jpg
- %System%\oobe\html\mouse\images\heidelbm.jpg
- %System%\oobe\html\mouse\images\paris.jpg
- %System%\oobe\html\mouse\images\parism.jpg
- %System%\oobe\html\mouse\images\pisa.jpg
- %System%\oobe\html\mouse\images\pisam.jpg
- %System%\oobe\html\mouse\images\prague.jpg
- %System%\oobe\html\mouse\images\praguem.jpg
- %System%\oobe\html\mouse\images\tyrol.jpg
- %System%\oobe\html\mouse\images\tyrolm.jpg
- %System%\oobe\html\mouse\images\venice.jpg
- %System%\oobe\html\mouse\images\venicem.jpg
- %System%\oobe\html\mouse\images\verona.jpg
- %System%\oobe\html\mouse\images\veronam.jpg
- %System%\oobe\images\newmark1.jpg
- %System%\oobe\images\newmark8.jpg
- %System%\oobe\images\wpaback.jpg
- %System%\oobe\images\wpakey.jpg
- %Windows%\Web\Wallpaper\Ascent.jpg
- %Windows%\Web\Wallpaper\Autumn.jpg
- %Windows%\Web\Wallpaper\Azul.jpg
- %Windows%\Web\Wallpaper\Crystal.jpg
- %Windows%\Web\Wallpaper\Follow.jpg
- %Windows%\Web\Wallpaper\Friend.jpg
- %Windows%\Web\Wallpaper\Home.jpg
- %Windows%\Web\Wallpaper\Moon flower.jpg
- %Windows%\Web\Wallpaper\Peace.jpg
- %Windows%\Web\Wallpaper\Power.jpg
- %Windows%\Web\Wallpaper\Purple flower.jpg
- %Windows%\Web\Wallpaper\Radiance.jpg
- %Windows%\Web\Wallpaper\Red moon desert.jpg
- %Windows%\Web\Wallpaper\Ripple.jpg
- %Windows%\Web\Wallpaper\Stonehenge.jpg
- %Windows%\Web\Wallpaper\Tulips.jpg
- %Windows%\Web\Wallpaper\Vortec space.jpg
- %Windows%\Web\Wallpaper\Wind.jpg
- %Windows%\Web\Wallpaper\Windows XP.jpg
- %Program Files%\Windows NT\Pinball\table.bmp
- %Windows%\Coffee Bean.bmp
- %Windows%\FeatherTexture.bmp
- %Windows%\Gone Fishing.bmp
- %Windows%\Greenstone.bmp
- %Windows%\Prairie Wind.bmp
- %Windows%\Rhododendron.bmp
- %Windows%\River Sumida.bmp
- %Windows%\Santa Fe Stucco.bmp
- %Windows%\Soap Bubbles.bmp
- %Windows%\winnt.bmp
- %Windows%\winnt256.bmp
- %Windows%\pchealth\helpctr\System\blurbs\watermark_300x.bmp
- %System%\setup.bmp
- %Windows%\Web\Wallpaper\Bliss.bmp
ご利用はいかがでしたか? アンケートにご協力ください