![Trend Micro Security](https://www.trendmicro.com/content/dam/trendmicro/global/en/global/logo/logo-desktop.png)
TROJ_CUTWAIL.YYU
Trojan-Dropper.Win32.Agent.pegx (Kaspersky); TrojanDownloader:Win32/Cutwail (Microsoft); Backdoor.Trojan (Symantec)
Windows
![](/vinfo/imgFiles/JPlegend.jpg)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\geserewacge.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
geserewacge = "%User profile%\geserewacge.exe"
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
geserewacgezap = "{hex values}"
HKEY_CURRENT_USER\Software\Microsoft
OSVersion = "31{random digits}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Regedit32 = "%System%\regedit.exe"
HKEY_CURRENT_USER\Software\WinRAR
HWID = "{hex values}"
HKEY_CURRENT_USER\Software\WinRAR
Client Hash = "{hex values}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
MaxUserPort = "fffe"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}est.com
- {BLOCKED}rce.com
- {BLOCKED}er.com
- {BLOCKED}als.net
- {BLOCKED}88.com
- {BLOCKED}net
- {BLOCKED}n.com
- {BLOCKED}spel.com
- {BLOCKED}mani.com
- {BLOCKED}org.eg
- {BLOCKED}.com
- {BLOCKED}last.com
- {BLOCKED}loc.com
- {BLOCKED}in.com
- {BLOCKED}sa.net
- {BLOCKED}org.tr
- {BLOCKED}ntist.ro
- {BLOCKED}xis.com
- {BLOCKED}z.com.br
- {BLOCKED}atex.com
- {BLOCKED}on.ch
- {BLOCKED}os-sa.gr
- {BLOCKED}niz.nl
- {BLOCKED}.com
- {BLOCKED}co.id
- {BLOCKED}-jp.com
- {BLOCKED}pope.biz
- {BLOCKED}inox.es
- {BLOCKED}-tc.si
- {BLOCKED}e.com
- {BLOCKED}ifor.com
- {BLOCKED}.at
- {BLOCKED}ran.com
- {BLOCKED}work.com
- {BLOCKED}ph.org
- {BLOCKED}s.net
- {BLOCKED}ko.net
- {BLOCKED}tex.com
- {BLOCKED}.ro
- {BLOCKED}x.com
- {BLOCKED}.cz
- {BLOCKED}ines.com
- {BLOCKED}uto.ru
- {BLOCKED}.org.au
- {BLOCKED}deum.com
- {BLOCKED}hun.com
- {BLOCKED}lit.com
- {BLOCKED}uk.org
- {BLOCKED}-sk.ca
- {BLOCKED}com.sa
- {BLOCKED}win.com
- {BLOCKED}.hu
- {BLOCKED}.ws
- {BLOCKED}aser.com
- {BLOCKED}ari.com
- {BLOCKED}tyle.com
- {BLOCKED}in.com
- {BLOCKED}.com
- {BLOCKED}e.org
- {BLOCKED}oll.com
- {BLOCKED}z.by
- {BLOCKED}olve.com
- {BLOCKED}ohera.pl
- {BLOCKED}do.com
- {BLOCKED}inst.com
- {BLOCKED}t.com.tw
- {BLOCKED}.com.ph
- {BLOCKED}tner.ru
- {BLOCKED}op.net
- {BLOCKED}inly.com
- {BLOCKED}mat.com
- {BLOCKED}sil.com
- {BLOCKED}xini.com
- {BLOCKED}ore.com
- {BLOCKED}lfix.com
- {BLOCKED}en.com
- {BLOCKED}s.com
- {BLOCKED}i.org
- {BLOCKED}inc.com
- {BLOCKED}ns.com
- {BLOCKED}arri.org
- {BLOCKED}o.ru
- {BLOCKED}sc.com
- {BLOCKED}made.com
- {BLOCKED}rden.com
- {BLOCKED}gent.com
- {BLOCKED}ma.com
- {BLOCKED}.krsn.ru
- {BLOCKED}edit.fr
- {BLOCKED}sit.com
- {BLOCKED}x.de
- {BLOCKED}ite.com
- {BLOCKED}eam.com
- {BLOCKED}b.com
- {BLOCKED}roup.com
- {BLOCKED}down.com
- {BLOCKED}hie.com
- {BLOCKED}l.org
- {BLOCKED}ad.pl
- {BLOCKED}onir.com
- {BLOCKED}o.com
- {BLOCKED}oviny.cz
- {BLOCKED}a.ch
- {BLOCKED}ar.com
- {BLOCKED}jog.net
- {BLOCKED}ybag.org
- {BLOCKED}ars.com
- {BLOCKED}ps.net
- {BLOCKED}a.com.br
- {BLOCKED}.de
- {BLOCKED}-eng.com
- {BLOCKED}cz
- {BLOCKED}set.net
- {BLOCKED}mi.net
- {BLOCKED}art.hu
- {BLOCKED}na.com
- {BLOCKED}.fr
- {BLOCKED}ilada.de
- {BLOCKED}ita.net
- {BLOCKED}gen.com
- {BLOCKED}i.com
- {BLOCKED}com.au
- {BLOCKED}ke.net
- {BLOCKED}h.org
- {BLOCKED}mca.org
- {BLOCKED}-ews.com
- {BLOCKED}olf.com
- {BLOCKED}pis.com
- {BLOCKED}a.com.pl
- {BLOCKED}fall.com
- {BLOCKED}in.net
- {BLOCKED}knox.bm
- {BLOCKED}lex.ru
- {BLOCKED}at.com
- {BLOCKED}eset.com
- {BLOCKED}30ty.com
- {BLOCKED}at
- {BLOCKED}at.com
- {BLOCKED}bile.com
- {BLOCKED}eo.com
- {BLOCKED}g.com
- {BLOCKED}jp.com
- {BLOCKED}.com
- {BLOCKED}l.com
- {BLOCKED}orp.com
- {BLOCKED}edit.org
- {BLOCKED}wcc.com
- {BLOCKED}rat.com
- {BLOCKED}ozo.ru
- {BLOCKED}-l.com
- {BLOCKED}h-me.com
- {BLOCKED}ker.net
- {BLOCKED}att.com
- {BLOCKED}els.com
- {BLOCKED}.org
- {BLOCKED}pt
- {BLOCKED}-ai.com
- {BLOCKED}yaku.com
- {BLOCKED}.do
- {BLOCKED}ings.com
- {BLOCKED}ito.com
- {BLOCKED}-ul.com
- {BLOCKED}x.net
- {BLOCKED}ikes.com
- {BLOCKED}nhai.com
- {BLOCKED}host.com
- {BLOCKED}oi.com
- {BLOCKED}net.com
- {BLOCKED}ani.com
- {BLOCKED}tech.pl
- {BLOCKED}mex.com
- {BLOCKED}ctus.pl
- {BLOCKED}ytu.net
- {BLOCKED}.org
- {BLOCKED}.net
- {BLOCKED}an.com
- {BLOCKED}-mi.org
- {BLOCKED}omi.com
- {BLOCKED}ey.com
- {BLOCKED}at
- {BLOCKED}lyon.org
- {BLOCKED}s.com
- {BLOCKED}-gr.ch
- {BLOCKED}kko.com
- {BLOCKED}el.com
- {BLOCKED}man.net
- {BLOCKED}tal.at
- {BLOCKED}la.fr
- {BLOCKED}y.com.pl
- {BLOCKED}am.com
- {BLOCKED}aiba.com
- {BLOCKED}-web.com
- {BLOCKED}t.net
- {BLOCKED}mail.com
- {BLOCKED}dol.com
- {BLOCKED}cr.com
- {BLOCKED}ta.com
- {BLOCKED}e.com
- {BLOCKED}.net
- {BLOCKED}.com
- {BLOCKED}.org
- {BLOCKED}ergo.ru
- {BLOCKED}den.com
- {BLOCKED}avto.ru
- {BLOCKED}nara.com
- {BLOCKED}c.com
- {BLOCKED}ngds.com
- {BLOCKED}c.co.uk
- {BLOCKED}el.co.jp
- {BLOCKED}r.com
- {BLOCKED}.ie
- {BLOCKED}a.cz
- {BLOCKED}memo.com
- {BLOCKED}a.biz
- {BLOCKED}.net
- {BLOCKED}ek.com
- {BLOCKED}.org
- {BLOCKED}tasc.com
- {BLOCKED}h.com
- {BLOCKED}et.com
- {BLOCKED}urope.nl
- {BLOCKED}tv
- {BLOCKED}iana.org
- {BLOCKED}p.com
- {BLOCKED}sh3.com
- {BLOCKED}han.com
- {BLOCKED}nue.com
- {BLOCKED}pas.com
- {BLOCKED}gr.com
- {BLOCKED}edu.com
- {BLOCKED}.com
- {BLOCKED}opp.net
- {BLOCKED}lock.com
- {BLOCKED}e.com
- {BLOCKED}ip.hu
- {BLOCKED}m.ru
- {BLOCKED}hina.com
- {BLOCKED}wis.com
- {BLOCKED}de
- {BLOCKED}edia.com
- {BLOCKED}no.net
- {BLOCKED}.co.uk
- {BLOCKED}le.pl
- {BLOCKED}linx.org
- {BLOCKED}.bas.bg
- {BLOCKED}co.jp
- {BLOCKED}esse.be
- {BLOCKED}oig.org
- {BLOCKED}cs.de
- {BLOCKED}.or.jp
- {BLOCKED}s.ru
- {BLOCKED}.com
- {BLOCKED}at.com
- {BLOCKED}edu.au
- {BLOCKED}h.ca
- {BLOCKED}ya.com
- {BLOCKED}t.org
- {BLOCKED}o.kr
- {BLOCKED}himo.com
- {BLOCKED}da.com
- {BLOCKED}ranj.com
- {BLOCKED}tgas.com
- {BLOCKED}gia.com
- {BLOCKED}r.org
- {BLOCKED}ski.org
- {BLOCKED}.net
- {BLOCKED}com
- {BLOCKED}uncu.com
- {BLOCKED}ys.co.uk
- {BLOCKED}net.net
- {BLOCKED}.com
- {BLOCKED}ex.com
- {BLOCKED}ton.com
- {BLOCKED}.org
- {BLOCKED}ke.ua
- {BLOCKED}ex.com
- {BLOCKED}rime.com
- {BLOCKED}ook.com
- {BLOCKED}occd.org
- {BLOCKED}v.org
- {BLOCKED}fa.com
- {BLOCKED}einc.com
- {BLOCKED}o.com
- {BLOCKED}ich.de
- {BLOCKED}.se
- {BLOCKED}jpn.com
- {BLOCKED}iga.com
- {BLOCKED}ntl.org
- {BLOCKED}oar.com
- {BLOCKED}pro.com
- {BLOCKED}ldia.net
- {BLOCKED}ter.bg
- {BLOCKED}.org
- {BLOCKED}gg.com
- {BLOCKED}t.com
- {BLOCKED}er.de
- {BLOCKED}ron.com
- {BLOCKED}sey.com
- {BLOCKED}e.com
- {BLOCKED}com
- {BLOCKED}irl.net
- {BLOCKED}ii.com
- {BLOCKED}v.ro
- {BLOCKED}otek.net
- {BLOCKED}tel.com
- {BLOCKED}.org.uk
- {BLOCKED}a.org
- {BLOCKED}k.com
- {BLOCKED}home.pl
- {BLOCKED}ks.co.uk
- {BLOCKED}hgts.net
- {BLOCKED}fit.com
- {BLOCKED}er.com
- {BLOCKED}tas.com
- {BLOCKED}eble.com
- {BLOCKED}m.ru
- {BLOCKED}path.com
- {BLOCKED}mar.com
- {BLOCKED}bar.com
- {BLOCKED}tar.com
- {BLOCKED}gann.com
- {BLOCKED}w.com
- {BLOCKED}.ru
- {BLOCKED}t.com
- {BLOCKED}earl.com
- {BLOCKED}sport.ru
- {BLOCKED}er.it
- {BLOCKED}ko.net
- {BLOCKED}h.org
- {BLOCKED}it
- {BLOCKED}izer.com
- {BLOCKED}wan.net
- {BLOCKED}ikan.com
- {BLOCKED}life.com
- {BLOCKED}ch
- {BLOCKED}llc.com
- {BLOCKED}uld.com
- {BLOCKED}ust.jp
- {BLOCKED}les.net
- {BLOCKED}a.com
- {BLOCKED}ral.org
- {BLOCKED}ugus.nl
- {BLOCKED}a.com
- {BLOCKED}ark.org
- {BLOCKED}ssen.net
- {BLOCKED}a.org
- {BLOCKED}oil.com
- {BLOCKED}hfam.ca
- {BLOCKED}do.net
- {BLOCKED}hin.com
- {BLOCKED}.edu.ag
- {BLOCKED}dc.org
- {BLOCKED}bax.org
- {BLOCKED}r.am
- {BLOCKED}us.jp
- {BLOCKED}i.it
- {BLOCKED}ig.com
- {BLOCKED}r.com
- {BLOCKED}elit.com
- {BLOCKED}erty.com
- {BLOCKED}ndia.com
- {BLOCKED}ca.org
- {BLOCKED}stay.com
- {BLOCKED}aris.com
- {BLOCKED}.spb.ru
- {BLOCKED}eknik.dk
- {BLOCKED}todo.com
- {BLOCKED}a.com
- {BLOCKED}apc.net
- {BLOCKED}york.com
- {BLOCKED}vant.com
- {BLOCKED}and.com
- {BLOCKED}y.com
- {BLOCKED}ays.com
- {BLOCKED}r.com.pl
- {BLOCKED}sub.com
- {BLOCKED}vic.net
- {BLOCKED}.org
- {BLOCKED}fkran.de
- {BLOCKED}plus.hu
- {BLOCKED}s.com
- {BLOCKED}net.de
- {BLOCKED}om
- {BLOCKED}com
- {BLOCKED}ix.net
- {BLOCKED}ui.net
- {BLOCKED}.com
- {BLOCKED}.org
- {BLOCKED}ma.com
- {BLOCKED}l.com
- {BLOCKED}15.net
- {BLOCKED}mizo.com
- {BLOCKED}ksut.com
- {BLOCKED}rmot.net
- {BLOCKED}eil.com
- {BLOCKED}aha.cz
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- geserewacge = "%User profile%\geserewacge.exe"
- geserewacge = "%User profile%\geserewacge.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- geserewacgezap = "{hex values}"
- geserewacgezap = "{hex values}"
- In HKEY_CURRENT_USER\Software\Microsoft
- OSVersion = "31{random digits}"
- OSVersion = "31{random digits}"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Regedit32 = "%System%\regedit.exe"
- Regedit32 = "%System%\regedit.exe"
- In HKEY_CURRENT_USER\Software\WinRAR
- HWID = "{hex values}"
- HWID = "{hex values}"
- In HKEY_CURRENT_USER\Software\WinRAR
- Client Hash = "{hex values}"
- Client Hash = "{hex values}"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
- MaxUserPort = "fffe"
- MaxUserPort = "fffe"
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_CUTWAIL.YYU」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください