TROJ_CLICKER.CTO
Windows 98, ME, NT, 2000, XP, Server 2003
- マルウェアタイプ:
- 破壊活動の有無:
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。
詳細
インストール
マルウェアは、以下のファイルを作成します。
- %System%\ctpmon.exe
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、""C:\Windows\System""、Windows NT および 2000 の場合、""C:\WinNT\System32""、Windows XP および Server 2003 の場合、""C:\Windows\System32"" です。)
)他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
ダウンロード活動
マルウェアは、以下の不正Webサイトにアクセスします。
- {BLOCKED}
対応方法
手順 1
メモリ上で実行されているプロセスを終了します。
- 検出ファイルが、Windows のタスクマネージャに表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
DATA_GENERIC
手順 2
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- HKEY_CLASSES_ROOT\Svshost1.dhcp\CLSID
- (Default)={2001a18b-e25f-409e-a60a-315dad8b8285}
- HKEY_CLASSES_ROOT\Svshost2.axb8\CLSID
- (Default)={2c5082f9-27a8-4615-8046-8dbe23539e7e}
- HKEY_CLASSES_ROOT\Svshost3.ds45\CLSID
- (Default)={2bf24df2-459e-41f0-9324-ae080bebf908}
- HKEY_CLASSES_ROOT\Svshost4.vcsd\CLSID
- (Default)={9c32c49b-0c8a-45f7-80b5-be492e35d151}
- HKEY_CLASSES_ROOT\Svshost5.ccas\CLSID
- (Default)={8a21289a-260e-4052-be61-5ce968103964}
- HKEY_CLASSES_ROOT\Svshost6.2345\CLSID
- (Default)={0d52b01e-f74a-40de-92fa-46a04642a12d}
- HKEY_CLASSES_ROOT\Svshost7.bctp\CLSID
- (Default)={63c81752-4185-46f4-8ba1-cb200a0d56a7}
- HKEY_CLASSES_ROOT\Svshost8.2dfh\CLSID
- (Default)={5ff4029b-8c61-48b9-8acb-9819fc8bb77c}
- HKEY_CLASSES_ROOT\Svshost9.afbs\CLSID
- (Default)={636a75ac-5423-4f27-b09f-329823438ba9}
- HKEY_CLASSES_ROOT\Svshost10.3hpo\CLSID
- (Default)={c123c0e6-02e8-4515-9f17-51dbe039b526}
- HKEY_CLASSES_ROOT\Svshost11.cs35\CLSID
- (Default)={19bffa22-54b1-444d-9911-796c9adeb040}
- HKEY_CLASSES_ROOT\Svshost12.varh\CLSID
- (Default)={09933b31-9acd-4219-8d46-7a54882c763f}
- HKEY_CLASSES_ROOT\Svshost13.fpol\CLSID
- (Default)={7a98c75f-ea98-47a1-b5d9-4419c6201c8c}
- HKEY_CLASSES_ROOT\Svshost14.knbs\CLSID
- (Default)={253de224-40a2-470b-a65f-3ecd6e325b62}
- HKEY_CLASSES_ROOT\Svshost15.kbns\CLSID
- (Default)={7482add4-193e-42e2-bc09-ecfadc8e9b03}
- HKEY_CLASSES_ROOT\c5621605.dhcp\CLSID
- (Default)={0d52b01e-f74a-40de-92fa-ecfadc8e9b03}
- HKEY_CLASSES_ROOT\650ef38e.axb8\CLSID
- (Default)={63c81752-4185-46f4-8ba1-3ecd6e325b62}
- HKEY_CLASSES_ROOT\650ef38f.ds45\CLSID
- (Default)={5ff4029b-8c61-48b9-8acb-4419c6201c8c}
- HKEY_CLASSES_ROOT\6fa10094.vcsd\CLSID
- (Default)={636a75ac-5423-4f27-b09f-7a54882c763f}
- HKEY_CLASSES_ROOT\767960fa.ccas\CLSID
- (Default)={c123c0e6-02e8-4515-9f17-796c9adeb040}
- HKEY_CLASSES_ROOT\767960fb.2345\CLSID
- (Default)={19bffa22-54b1-444d-9911-51dbe039b526}
- HKEY_CLASSES_ROOT\7fe62cc2.bctp\CLSID
- (Default)={09933b31-9acd-4219-8d46-329823438ba9}
- HKEY_CLASSES_ROOT\877faba2.2dfh\CLSID
- (Default)={7a98c75f-ea98-47a1-b5d9-9819fc8bb77c}
- HKEY_CLASSES_ROOT\8dcb614a.afbs\CLSID
- (Default)={253de224-40a2-470b-a65f-cb200a0d56a7}
- HKEY_CLASSES_ROOT\94ad4b18.3hpo\CLSID
- (Default)={7482add4-193e-42e2-bc09-46a04642a12d}
- HKEY_CLASSES_ROOT\Svshostt.arty\CLSID
- d1=c77a5e10
- d2=1cadedb
- HKEY_CLASSES_ROOT\BprintingHost.Serv\CLSID\{38ca2fcd-7d7e-11db-96a0-00e08161165f}
- (Default)=999
手順 3
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- HKEY_CURRENT_USER\Control Panel\Colors
- From: Background=0 0 0
+ To: Background=58 110 165
- From: Background=0 0 0
手順 4
以下のファイルを検索し削除します。
- %System%\ctpmon.exe
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_CLICKER.CTO」と検出したファイルはすべて削除してください。 註=検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。ただし、念のため、隔離されたファイルを削除してください。詳しくは、こちらをご確認下さい。
ご利用はいかがでしたか? アンケートにご協力ください