![Trend Micro Security](https://www.trendmicro.com/content/dam/trendmicro/global/en/global/logo/logo-desktop.png)
TROJ_MYBIOS.AB
Windows 2000, Windows XP, Windows Server 2003
![](/vinfo/imgFiles/JPlegend.jpg)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
詳細
侵入方法
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %System%\drivers\bios1.sys - used to flash the BIOS
- %User Temp%\cbrom.exe - legitimate Award Bios Editor
- %User Temp%\hook.rom - contains the malicious boot sector codes.
- %Windows%\flash.dll - used to load the malicious bios.sys
- c:\my.sis - responsible for protecting and hiding the infected boot sector.
- c:\bios.bin - contains the BIOS codes
- %System%\drivers\bios2.sys - copy of bios1.sys
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Master Boot Record(MBR)を修復します。
Master Boot Record(MBR)の修復:
- Windows のインストールCDを使用して、コンピュータを再起動します。
- [セットアップへようこそ] 画面で、修復の R キーを押します。
(註: Windows2000 の場合、Rキーを入力後 C キーを入力し、[修復オプション]から[回復コンソール]を選択します。) - 修復する Windows がインストールされているドライブを選択します(通常は "1" を選択します)。.
- 管理者のパスワードを入力し、Enter キーを押します。管理者パスワードがない場合は、何も入力せずに Enter キーを押します。
- コマンドプロンプトに、上記で確認したマルウェアが検出されたドライブ名を入力します。
- 以下のコマンドを入力し、Enter キーを押します。
fixmbr <感染したドライブ>
※"FIXMBR" と "<感染したドライブ>" の間に半角スペースを入れてください。
※"<感染したドライブ>" とは、このマルウェアが感染したブータブル・ドライブのことです。ドライブが特定できない場合、プライマリ・ブート・ドライブにあるマスター・ブート・レコードが上書きされている可能性があります。 - コマンドプロンプトに EXIT と入力し、コンピュータを再起動してください。
手順 3
以下のファイルを検索し削除します。
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_MYBIOS.AB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください