TROJ_CARBERP.YWQ

2017年6月8日

解析者: Cris Nowell Pantanilla

別名:

Trojan:Win32/Skeeyah.A!rfn (Microsoft), Trojan-Downloader.Win32.Carberp (Ikarus)

プラットフォーム:

Windows

危険度:

感染確認数:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 256,512 bytes

タイプ EXE

メモリ常駐はい

発見日 2017年5月31日

ペイロードファイルの削除

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%Windows%\rdpinst.exe

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下のコンポーネントファイルを作成します。

%Windows%\F5Ws94kb.txt
%Windows%\PsfjH4KN.txt
%Windows%\VZT6nsdX.txt
%Windows%\zhsw8lZB.txt

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
aaa99 = "%Windows%\rdpinst.exe"

他のシステム変更

マルウェアは、以下のファイルを削除します。

%Application Data%\NTUSER.DAT
%Windows%\bootstat.dat
%Windows%\bootstat2.dat
C:\Users\All Users\Documents\suchost..exe
C:\desktop.ini
C:\recycler
C:\sYstem.vbs
DDEDSDM\dde.exe
Google\update\GoogleUpdate.exe
Installed\mbarservice.exe
Microsoft\Super Fitch x86\SuperFitch_x86.exe
Microsoft\Windows\Default settings protector\dsp.exe
Microsoft\Windows\Loadmnge32\Loadmnge32.exe
Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe
Microsoft\Windows\Officecompiler\Officecompiler.exe
Microsoft\Windows\Start Menu\MSDCSC\msdcsc.exe
Mobile Internet\OnlineUpdate\ouc.exe
SetWallpaper.cmd
Sysconfig\Sysconfig.exe
Updata\GoogleUpdata.exe
WPM\wprotectmanager.exe
Windows Update\svrupg.exe
WindowsInstaller\windows.exe
Windows\check.vbs
Windows\csrss.exe
Windows\winpoint
\MSDCSC\msdcsc.exe
cmds.exe
explorer.exe
fastan~1\FastAndSafeSvc.dll
lsasss\lsasss.exe
microsoft\dwmgr.exe
newnext.me\nengine.dll
nightupdate\svchost.exe
start\update.exe
svchost.exe
temp\beta\vpn.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下のフォルダを削除します。

.clamwin
360
360SD
AVAST Software
AVG
AVG Nation toolbar
AVS4YOU
Acceleration Software
Ad-Aware Antivirus
Advanced System Protector
Advanced SystemCare 6
Advanced SystemCare 7
Advanced SystemCare 8
Agnitum
AhnLab
Alwil Software
AntiVir PersonalEdition Classic
AntiVirus
AntiWinLocker
Anvisoft\Anvi Smart Defender
Arcabit
Archivos comunes\AVG Secure Search
Arquivos comuns\AVG Secure Search
Ashampoo\Ashampoo Anti-Virus
Ashampoo\Ashampoo FireWall FREE
Avanquest
Avetix
Avira
BLuPro
Baidu
Baidu Security
BillP Studios
BitGuard
Bitdefender
Bitdefender Agent
Bkav Corporation
Bkav2006
BkavHome
BkavHomePlus
BkavPro
BkavProIS
Blue Coat K9 Web Protection
Blue Ridge Networks
BullGuard
BullGuard Ltd
CA
CMC\Antivirus
CMC\Internet Security
COMODO
Cezurity
CheckPoint
ClamWin
Common Files\AVG Secure Search
Common Files\AV\McAfee Anti-Virus And Anti-Spyware
Common Files\Baidu
Common Files\Bitdefender
Common Files\BullGuard Ltd
Common Files\COMODO
Common Files\Commtouch\AntiVirus5
Common Files\Doctor Web
Common Files\G Data
Common Files\InfoWatch
Common Files\Intel Security
Common Files\McAfee
Common Files\MicroWorld
Common Files\Panda Security
Common Files\Steganos\OnlineShield
Common Files\Symantec Shared
Common Files\TrustPort
Common Files\eAcceleration
Comodo Downloader
Crystal Security
DefenseWall
Doctor Web
DrWeb
DrWeb AV-Desk
DrWeb Enterprise Suite
EMCO\Malware Destroyer 5
EMCO\Malware Destroyer 6
EMCO\Malware Destroyer 7
EMCO\Malware Destroyer 8
ESET
ESTsoft\ALYac
Elex-tech\YAC
Emsisoft
Emsisoft Anti-Malware
Emsisoft Internet Security
Essentware\PCKAV
F-Secure
FRISK Software
File comuni\AVG Secure Search
Filseclab
Fortego Security
Fortinet
G DATA Software
G Data
GFI
GlassWire
GridinSoft Anti-Malware
Grisoft
HAURI
IKARUS
INCAInternet\nProtect Netizen v5.5
INCAInternet\nProtect Online Security
IObit
Immunet
Intel Security
Jetico
K7 Computing
Kaspersky Lab
Kerio
Kingsoft\PCDoctor
Lavasoft
Loaris\Trojan Remover
MPC Cleaner
MSDL-MSDLAV
Malware Defender
Malwarebytes
Malwarebytes Anti-Exploit
Malwarebytes Anti-Malware
Malwarebytes' Anti-Malware
Mamutu
McAfee
McAfee Security Scan
McAfee.com
McAfeeMOBK
MicroWorld
Microsoft Forefront
Microsoft Security Client
Microsoft Security Essentials
MinerGate
MinerGate-service
Moon Secure Antivirus
N-able Technologies
NANO Antivirus
NETGATE\Amiti Antivirus
NETGATE\FortKnox Personal Firewall
NETGATE\Spy Emergency
Net Protector 2011
Net Protector 2014
NetPolice
Network Associates\VirusScan
NetworkShield Firewall 3.0
NoVirusThanks
Nora Antimalware Scanner
Norman
Norton 360
Norton Anti-Theft
Norton AntiVirus
Norton Internet Security
Norton Security
Norton Security Scan
Norton Security with Backup
NortonInstaller
Online Armor
OnlineArmor
PC Tools
PC Tools Firewall Plus
PC Tools Security
PSafe
Padvish Antivirus
Panda Security
Panda Security URL Filtering
PeerBlock
Preventon Antivirus
Privacyware
Proland
Proland Software
Quick Heal
Reason\Security
Returnil
Rising
Roboscan
Ruiware
STOPzilla Optimizer
STOPzilla!
SUPERAntiSpyware
SecuraLive Internet Security
SecureAge
Smadav
Sophos
SpyShelter
SpyShelter Premium
Spybot - Search & Destroy
Spybot - Search & Destroy 2
Spyware Doctor
Spyware Terminator
Steganos Online Shield
StopSign
Sygate\SPF
Symantec AntiVirus
Symantec.cloud
Symantec\LiveUpdate
Symantec\Symantec Endpoint Protection
Symantec\Symantec Endpoint Protection Manager
Tencent\QQPCMgr
ThreatFire
Tiranium AntiVirus
Tizer Secure
Total Defense
TotalDefense
TrafInsp
Trend Micro
Trend Micro Installer
Trojan Remover
TrojanHunter
TrojanHunter 5.1
TrojanHunter 5.2
TrojanHunter 5.3
TrojanHunter 5.4
TrojanHunter 5.5
TrojanHunter 5.6
TrojanHunter 5.7
TrojanHunter 5.8
TrojanHunter 5.9
TrustPort
UPCleaner
UnHackMe
UnThreat
UnThreat AntiVirus
VIPRE
Vba32
VnSecurity 2008
WRData
Webroot
WinPcap
WinRoute Pro
Winalysis
Windows Defender
Zillya Antivirus
Zillya Internet Security
Zillya! Internet Security
avast
eAcceleration
eSafe
eScan
eScan Web Safe
geswall
kingsoft\kingsoft antivirus
kingsoft\ksdef
mks_vir_9
nanoav
nanolsp
pandasecuritytb
xCore Software

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
fs57 = "%Windows%\system32\netsh.exe winsock reset"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
fs32 = "%Windows%\system32\bcdedit.exe /set {current} recoveryenabled No"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

(註：変更前の上記レジストリ値は、「5」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
PromptOnSecureDesktop = 0

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Session Manager
BootExecute = "autocheck autochk * {malware path and name}"

(註：変更前の上記レジストリ値は、「"autocheck autochk *"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HOSTSファイルの改変

マルウェアは、WindowsのHOSTSファイルに以下の文字列を追加します。

0.0.0.0 account.norton.com
0.0.0.0 www.gmer.net
0.0.0.0 www.yeabests.cc
0.0.0.0 bleepingcomputer.com
0.0.0.0 www.bleepingcomputer.com
0.0.0.0 malekal.com
0.0.0.0 www.malekal.com
0.0.0.0 accounts.comodo.com
0.0.0.0 activation.adtrustmedia.com
0.0.0.0 activation-v2.kaspersky.com
0.0.0.0 auth.ff.avast.com
0.0.0.0 avstats.avira.com
0.0.0.0 backup1.bullguard.com
0.0.0.0 buddy.bitdefender.com
0.0.0.0 c2.dev.drweb.com
0.0.0.0 antivirus.baidu.com
0.0.0.0 cdn.static.malwarebytes.org
0.0.0.0 csasmain.symantec.com
0.0.0.0 definitionsbd.lavasoft.com
0.0.0.0 dm.kaspersky-labs.com
0.0.0.0 dnsscan.shadowserver.org
0.0.0.0 download.bitdefender.com
0.0.0.0 download.bullguard.com
0.0.0.0 download.comodo.com
0.0.0.0 download.eset.com
0.0.0.0 download.geo.drweb.com
0.0.0.0 downloadnada.lavasoft.com
0.0.0.0 downloads.comodo.com
0.0.0.0 downloads.lavasoft.com
0.0.0.0 www.reasoncoresecurity.com
0.0.0.0 reasoncoresecurity.com
0.0.0.0 drweb.com
0.0.0.0 ec.sunbeltsoftware.com
0.0.0.0 emupdate.avast.com
0.0.0.0 esetnod32.ru
0.0.0.0 zillya.ua
0.0.0.0 www.zillya.ua
0.0.0.0 expire.eset.com
0.0.0.0 gms.ahnlab.com
0.0.0.0 go.eset.eu
0.0.0.0 i1.c.eset.com
0.0.0.0 i2.c.eset.com
0.0.0.0 i3.c.eset.com
0.0.0.0 i4.c.eset.com
0.0.0.0 iploc.eset.com
0.0.0.0 ipm.avira.com
0.0.0.0 ipm.bitdefender.com
0.0.0.0 ksn4-12.kaspersky-labs.com
0.0.0.0 ksn-file-geo.kaspersky-labs.com
0.0.0.0 ksn-info-geo.kaspersky-labs.com
0.0.0.0 ksn-ipm-1.kaspersky-labs.com
0.0.0.0 ksn-kas-geo.kaspersky-labs.com
0.0.0.0 ksn-kddi.kaspersky-labs.com
0.0.0.0 ksn-pbs-geo.kaspersky-labs.com
0.0.0.0 ksn-stat-geo.kaspersky-labs.com
0.0.0.0 ksn-tboot-1.kaspersky-labs.com
0.0.0.0 ksn-tcert-geo.kaspersky-labs.com
0.0.0.0 ksn-tpcert-1.kaspersky-labs.com
0.0.0.0 ksn-url-geo.kaspersky-labs.com
0.0.0.0 ksn-verdict-geo.kaspersky-labs.com
0.0.0.0 licenseactivation.security.comodo.com
0.0.0.0 license.avira.com
0.0.0.0 license.nanoav.ru
0.0.0.0 license.trustport.com
0.0.0.0 licensing.security.comodo.com
0.0.0.0 login.bullguard.com
0.0.0.0 login.norton.com
0.0.0.0 metrics.bitdefender.com
0.0.0.0 mirror01.gdata.de
0.0.0.0 my.bitdefender.com
0.0.0.0 newton.norman.com
0.0.0.0 nimbus.bitdefender.net
0.0.0.0 niufour.norman.no
0.0.0.0 niuone.norman.no
0.0.0.0 niuseven.norman.no
0.0.0.0 o2.norton.com
0.0.0.0 omni.avg.com
0.0.0.0 oms.symantec.com
0.0.0.0 p003.sb.avast.com
0.0.0.0 p.filseclab.com
0.0.0.0 www.filseclab.com
0.0.0.0 ping.avast.com
0.0.0.0 premium.avira-update.com
0.0.0.0 program.avast.com
0.0.0.0 proxy.eset.com
0.0.0.0 redirect.avira.com
0.0.0.0 reg03.eset.com
0.0.0.0 register.k7computing.com
0.0.0.0 resolver1.bullguard.ctmail.com
0.0.0.0 resolver2.bullguard.ctmail.com
0.0.0.0 resolver3.bullguard.ctmail.com
0.0.0.0 resolver4.bullguard.ctmail.com
0.0.0.0 resolver5.bullguard.ctmail.com
0.0.0.0 rol.pandasecurity.com
0.0.0.0 360totalsecurity.com
0.0.0.0 www.360totalsecurity.com
0.0.0.0 secure.comodo.net
0.0.0.0 shasta-rrs.symantec.com
0.0.0.0 shop.esetnod32.ru
0.0.0.0 slcw.ff.avast.com
0.0.0.0 spoc-pool-gtm.norton.com
0.0.0.0 s.program.avast.com
0.0.0.0 static2.avast.com
0.0.0.0 static.avg.com
0.0.0.0 stats.norton.com
0.0.0.0 stats.qalabs.symantec.com
0.0.0.0 store.lavasoft.com
0.0.0.0 su.ff.avast.com
0.0.0.0 support.norton.com
0.0.0.0 symantec.tt.omtrdc.net
0.0.0.0 threatnet.threattrack.com
0.0.0.0 trace.eset.com
0.0.0.0 tracking.lavasoft.com
0.0.0.0 ts-crl.ws.symantec.com
0.0.0.0 ts.eset.com
0.0.0.0 uc.cloud.avg.com
0.0.0.0 um01.eset.com
0.0.0.0 um21.eset.com
0.0.0.0 update2.bullguard.com
0.0.0.0 update.avg.com
0.0.0.0 update.bullguard.com
0.0.0.0 update.eset.com
0.0.0.0 updates.agnitum.com
0.0.0.0 updates.k7computing.com
0.0.0.0 updates.sunbeltsoftware.com
0.0.0.0 upgrade.bitdefender.com
0.0.0.0 upgr-mmxiii-p.cdn.bitdefender.net
0.0.0.0 upgr-mmxiv.cdn.bitdefender.net
0.0.0.0 v7.stats.avast.com
0.0.0.0 versioncheck.eset.com
0.0.0.0 vl.ff.avast.com
0.0.0.0 wam.pandasecurity.com
0.0.0.0 webprot.avgate.net
0.0.0.0 webprot.avira.com
0.0.0.0 webprot.avira.de
0.0.0.0 wsmy.pandasecurity.com
0.0.0.0 www5.avira.com
0.0.0.0 www.avira.com
0.0.0.0 download.sp.f-secure.com
0.0.0.0 www.bullguard.com
0.0.0.0 www.esetnod32.ru
0.0.0.0 www.k7-russia.ru
0.0.0.0 www.lavasoft.com
0.0.0.0 www.mks.com.pl
0.0.0.0 www.nanoav.ru
0.0.0.0 www.pandasecurity.com
0.0.0.0 www-secure.symantec.com
0.0.0.0 www.sunbeltsoftware.com
0.0.0.0 www.trustport.com
0.0.0.0 kaspersky.ru
0.0.0.0 www.kaspersky.ru
0.0.0.0 avast.ru
0.0.0.0 www.avast.ru
0.0.0.0 freeavg.com
0.0.0.0 www.freeavg.com
0.0.0.0 free.avg.com
0.0.0.0 www.free.avg.com
0.0.0.0 avira.com
0.0.0.0 z-oleg.com
0.0.0.0 www.z-oleg.com
0.0.0.0 bitdefender.com
0.0.0.0 www.bitdefender.com
0.0.0.0 bullguard.com
0.0.0.0 personalfirewall.comodo.com
0.0.0.0 www.personalfirewall.comodo.com
0.0.0.0 comodo.com
0.0.0.0 www.comodo.com
0.0.0.0 www.drweb.com
0.0.0.0 www.emsisoft.ru
0.0.0.0 emsisoft.ru
0.0.0.0 avescan.ru
0.0.0.0 www.avescan.ru
0.0.0.0 escanav.com
0.0.0.0 www.escanav.com
0.0.0.0 escan.com
0.0.0.0 www.escan.com
0.0.0.0 f-prot.com
0.0.0.0 www.f-prot.com
0.0.0.0 f-secure.com
0.0.0.0 www.f-secure.com
0.0.0.0 gdatasoftware.com
0.0.0.0 ru.gdatasoftware.com
0.0.0.0 www.gdata.de
0.0.0.0 gdata.de
0.0.0.0 ikarussecurity.com
0.0.0.0 www.ikarussecurity.com
0.0.0.0 malwarebytes.org
0.0.0.0 www.malwarebytes.org
0.0.0.0 nanoav.ru
0.0.0.0 symantec.com
0.0.0.0 www.symantec.com
0.0.0.0 norton.com
0.0.0.0 www.norton.com
0.0.0.0 ru.norton.com
0.0.0.0 agnitum.ru
0.0.0.0 www.agnitum.ru
0.0.0.0 cloudantivirus.com
0.0.0.0 www.cloudantivirus.com
0.0.0.0 pandasecurity.com
0.0.0.0 www.rising.com.cn
0.0.0.0 rising.com.cn
0.0.0.0 rising-global.com
0.0.0.0 www.rising-global.com
0.0.0.0 www.rising-russia.com
0.0.0.0 rising-russia.com
0.0.0.0 freerav.com
0.0.0.0 www.freerav.com
0.0.0.0 safensoft.ru
0.0.0.0 www.safensoft.ru
0.0.0.0 trustport.com
0.0.0.0 www.trustport-ru.ru
0.0.0.0 virustotal.com
0.0.0.0 www.virustotal.com
0.0.0.0 zillya.com
0.0.0.0 www.zillya.com
0.0.0.0 anti-virus.by
0.0.0.0 www.anti-virus.by
0.0.0.0 sophos.com
0.0.0.0 www.sophos.com
0.0.0.0 www.freedrweb.com
0.0.0.0 freedrweb.com
0.0.0.0 www.avirus.ru
0.0.0.0 www.avg.com
0.0.0.0 avg.com
0.0.0.0 mcafee.com
0.0.0.0 www.mcafee.com
0.0.0.0 siteadvisor.com
0.0.0.0 www.siteadvisor.com
0.0.0.0 support.kaspersky.ru
0.0.0.0 www.comss.ru
0.0.0.0 comss.ru
0.0.0.0 www.spyware-ru.com
0.0.0.0 spyware-ru.com
0.0.0.0 virusinfo.info
0.0.0.0 www.virusinfo.info
0.0.0.0 forum.esetnod32.ru
0.0.0.0 www.forum.esetnod32.ru
0.0.0.0 forum.drweb.com
0.0.0.0 www.forum.drweb.com
0.0.0.0 forum.virlab.info
0.0.0.0 www.forum.virlab.info
0.0.0.0 spybot.info
0.0.0.0 www.spybot.info
0.0.0.0 winpatrol.com
0.0.0.0 www.quickheal.com
0.0.0.0 quickheal.com
0.0.0.0 www.winpatrol.com
0.0.0.0 av.download.avg.com

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 13.440.07

初回 VSAPI パターンリリース日 2017年5月31日

VSAPI OPR パターンバージョン 13.441.00

VSAPI OPR パターンリリース日 2017年6月1日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- fs32 = "%SystemRoot%\system32\bcdedit.exe /set {current} recoveryenabled No"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- fs57 = "%SystemRoot%\system32\netsh.exe winsock reset"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- aaa99 = "%Windows%\rdpinst.exe"

手順 3

変更されたレジストリ値を修正します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- From: ConsentPromptBehaviorAdmin = 5
  To: ConsentPromptBehaviorAdmin = 0
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- From: EnableLUA = 0
  To: EnableLUA = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- From: PromptOnSecureDesktop = 0
  To: PromptOnSecureDesktop = 1
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
- From: BootExecute = "autocheck autochk * {malware path and name}"
  To: BootExecute = "autocheck autochk *"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- From: AntiVirusOverride = 1
  To: AntiVirusOverride = 0
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- From: FirewallOverride = 1
  To: FirewallOverride = 0

このマルウェアが変更したレジストリ値の修正：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合：
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7、Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
  ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Policies>System
右側のパネルで以下のレジストリ値を検索します。
ConsentPromptBehaviorAdmin = 5
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
ConsentPromptBehaviorAdmin = 0
再び、右側のパネルで以下のレジストリ値を検索します。
EnableLUA = 0
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
EnableLUA = 1
再び、右側のパネルで以下のレジストリ値を検索します。
PromptOnSecureDesktop = 0
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
PromptOnSecureDesktop = 1
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>Session Manager
右側のパネルで以下のレジストリ値を検索します。
BootExecute = "autocheck autochk * {malware path and name}"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
BootExecute = "autocheck autochk *"
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center>Svc
右側のパネルで以下のレジストリ値を検索します。
AntiVirusOverride = 1
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
AntiVirusOverride = 0
再び、右側のパネルで以下のレジストリ値を検索します。
FirewallOverride = 1
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
FirewallOverride = 0
レジストリエディタを閉じます。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %Windows%\F5Ws94kb.txt

%Windows%\PsfjH4KN.txt

%Windows%\VZT6nsdX.txt

%Windows%\zhsw8lZB.txt

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_CARBERP.YWQ」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 6

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア／グレイウェア／スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

ご利用はいかがでしたか？　アンケートにご協力ください