TROJ_NGRBOT_DD30048E.UVPA

2020年1月7日

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 344,117 bytes

タイプ EXE

メモリ常駐はい

発見日 2019年11月23日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

%Program Files%\Internet Explorer\iexplore.exe
"%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE"
"%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:2592 CREDAT:275457 /prefetch:2

(註：%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、以下のフォルダを作成します。

%Application Data%\Microsoft\Windows\IECompatCache
%Application Data%\Microsoft\Windows\IECompatUACache
%AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
%Application Data%\Microsoft\Windows\DNTException
%Application Data%\Microsoft\Windows\PrivacIE

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

他のシステム変更

マルウェアは、以下のファイルを改変します。

%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml

マルウェアは、以下のファイルを削除します。

%AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

作成活動

マルウェアは、以下のファイルを作成します。

%AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{3E5A36D1-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{348155DE-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{348155E0-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

http://go.{BLOCKED}oft.com/fwlink/?LinkId=69157
http://www.{BLOCKED}n.com/?ocid=iehp
http://o.{BLOCKED}n.com/ads/adswrappermsni.js
http://static-global-s-msn-com.{BLOCKED}zed.net/{random path}?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpOUO.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGUW9m.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB1kc8s.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AABN6T1.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXaT05.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbUXa.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX8QSS.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX8QYZ.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/hp-wus/sc/ea/4996b9.woff
http://www.{BLOCKED}n.com/en-us/homepage/irisbannerajax?{random characters}
http://c.{BLOCKED}n.com/c.gif?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/hp-wus/sc/c6/cfdbd9.png
http://c.{BLOCKED}g.com/c.gif?{random characters}
http://at.{BLOCKED}a.com/{random path}
http://adserver.{BLOCKED}h.advertising.com/{random path}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBnGKDa.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGsFdq.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywGC0.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbUDX.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBNvr53.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywHbG.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXaulb.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbjeq.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWIAeE.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB1GufW.img?{random characters}
http://banner.{BLOCKED}ising.com/ads/msn3.html
http://acdn.{BLOCKED}s.com/ast/ast.js
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB4KnC.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXb3QA.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAC9NeA.img?{random characters}
http://g.{BLOCKED}g.com/uac/request?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXaTnP.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJzOXm.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAA8PBm.img?{random characters}
http://g.{BLOCKED}g.com/uac/response?{random characters}
http://static.{BLOCKED}eat.com/js/{BLOCKED}eat.js
http://m.{BLOCKED}s.com/ut/v3
http://www.{BLOCKED}n.com/en-us/homepage/npsajax?ver=20191116_19676952
http://ping.{BLOCKED}eat.net/ping?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbbtF.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBCleeG.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXb5CR.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAesHLQ.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX9yTx.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUDFrs.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUDFvK.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUE38v.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAILYH4.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIM6SY.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXasyA.img?{random characters}
http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAEHtW3.img?{random characters}
http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAyW7G9.img?{random characters}
http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBTg0tm.img?{random characters}
http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAFtJdp.img?{random characters}
http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBRL5wW.img?{random characters}
http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AA565dd.img?{random characters}
http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBTUVWY.img?{random characters}
http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAyhxXG.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX8pOa.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbNpu.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbaMJ.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbZrF.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX9Zvt.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX8VsG.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbwW7.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbTTE.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXby9m.img?{random characters}
http://eb2.{BLOCKED}t.com/mapuid?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX5I7Y.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGUjnZ.img?{random characters}
http://eb2.{BLOCKED}t.com/getuid?ld=1&gdpr=0&cmp_cs=
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAyHM48.img?{random characters}
http://tag.{BLOCKED}p.advertising.com/{BLOCKED}p.js
http://cdn.{BLOCKED}a.com/TaboolaCookieSyncScript.js
http://widgets.{BLOCKED}in.com/external/publishers/msn/MSNIdSync.js
http://ib.{BLOCKED}s.com/async_usersync_file
http://sync.{BLOCKED}in.com/uidmapjsonp?{random characters}
http://acdn.{BLOCKED}s.com/dmp/async_usersync.html
http://c.{BLOCKED}g.com/c.gif?Red3=MSOATH_pd
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJF9n3.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIdNNX.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIM1Of.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBiuMZc.img?{random characters}
http://ib.{BLOCKED}s.com/async_usersync?cbfn=queuePixels
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXaTkf.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBKbHiE.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AACkSXj.img?{random characters}
http://lax1-ib.{BLOCKED}s.com/it?{random characters}
http://confiant.{BLOCKED}n.com/?{random characters}
http://usw-lax.{BLOCKED}r.org/bid/feedback/appnexus?{random characters}
http://cdn.{BLOCKED}verify.com/dv-match6.js
http://rtb2.{BLOCKED}verify.com/verify.js?{random characters}
http://tps710.{BLOCKED}verify.com/bsevent.gif?{random characters}
http://tps705.{BLOCKED}verify.com/bsevent.gif?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWRZ5x.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX9WoT.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX4gto.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbxxg.img?{random characters}
http://tps.{BLOCKED}verify.com/visit.js?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJTv7C.img?{random characters}
http://acdn.{BLOCKED}s.com/dmp/async_usersync.html?{random characters}
http://{BLOCKED}4.148.166/rd_log?{random characters}
http://c.{BLOCKED}n.com/geo/ba.js?r181114
http://c.{BLOCKED}n.com/a/4.gif
http://lax1-ib.{BLOCKED}s.com/rd_log?{random characters}
http://c.{BLOCKED}n.com/a/n/709/66266.js
http://cdn.{BLOCKED}s.com/v/s/182/trk.js
http://tps11026.{BLOCKED}verify.com/event.png?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX0F6F.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAgi0nZ.img?{random characters}
http://lax1-ib.{BLOCKED}s.com/vevent?{random characters}
http://c.{BLOCKED}n.com/a/COMMON.css?r=0.8736690922127264
http://c.{BLOCKED}n.com/icon/box_19_top-left.png
http://c.{BLOCKED}n.com/icon/ci.png
http://c.{BLOCKED}n.com/a/COMMON.css?r=0.28755078914736276
http://l.{BLOCKED}d.com/{random path}?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJDt8c.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBOPUKu.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX4oIm.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJStpN.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX9X3X.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBAmaS5.img?{random characters}
http://ib.{BLOCKED}s.com/async_usersync?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX9XSF.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AABiyAn.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXaqn9.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBph6Sm.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX0IHG.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWLm1b.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX0cj9.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJUkNI.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUE92F.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX97bM.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAxspu1.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX3Wwy.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBAjq9b.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX0uHF.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBjLpNF.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWIyaJ.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAtKMMs.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXa59s.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywSGf.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB16BrH.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA3ltd8.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIVQlL.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA9Aicg.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWPq93.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX8qgW.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBMwL1F.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAaeOki.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJuRKe.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWI9Yw.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AACy14K.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAlQCaw.img?{random characters}
http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA6pevu.img?{random characters}
http://www.{BLOCKED}n.com/en-us/homepage/api/pagedatarequest?{random characters}
http://api.{BLOCKED}g.com
http://www.{BLOCKED}g.com
http://linkmaker.{BLOCKED}s.apple.com
http://sb.{BLOCKED}ardresearch.com
http://web.{BLOCKED}x.data.msn.com
http://cms.{BLOCKED}ics.yahoo.com
http://widgets.{BLOCKED}e.com
http://msn.{BLOCKED}dome.com
http://contextual.{BLOCKED}a.net
http://login.{BLOCKED}e.com
http://px.{BLOCKED}s.linkedin.com
http://www.{BLOCKED}in.com
http://lg3.{BLOCKED}a.net
http://gum.{BLOCKED}o.com
http://tag.{BLOCKED}c.analytics.yahoo.com
http://hblg.{BLOCKED}a.net
http://res.{BLOCKED}a.net
http://de9a11s35xj3d.{BLOCKED}ront.net
http://rtb-usw.{BLOCKED}vr.com
http://srtb.{BLOCKED}n.com
http://hbx.{BLOCKED}a.net
http://cvision.{BLOCKED}a.net
http://pr-bh.{BLOCKED}p.yahoo.com
http://img-prod-cms-rt-microsoft-com.{BLOCKED}zed.net
http://arc.{BLOCKED}n.com
http://{BLOCKED}k.com
http://b1sync.{BLOCKED}a.com
http://dmp.{BLOCKED}ik.com
http://idsync.{BLOCKED}n.com
http://tags.{BLOCKED}i.com
http://stags.{BLOCKED}i.com
http://sync-jp.{BLOCKED}s.net
http://match.{BLOCKED}r.org
http://beacon.{BLOCKED}d.net
http://rtb.{BLOCKED}vr.com
http://x.{BLOCKED}tch.net
http://dis.{BLOCKED}o.com
http://aa.{BLOCKED}n.com
http://cd.{BLOCKED}p.com
http://cm.{BLOCKED}g.doubleclick.net
http://px.{BLOCKED}inks.com
http://dsp.{BLOCKED}1.adition.com
http://ps.{BLOCKED}a.net
http://loadus.{BLOCKED}or.com
http://dpm.{BLOCKED}x.net
http://id.{BLOCKED}m.com
http://sync.{BLOCKED}trl.net
http://{BLOCKED}o.com
http://p.{BLOCKED}b.com
http://i.{BLOCKED}m.com
http://e.{BLOCKED}x.addthis.com
http://x.{BLOCKED}x.addthis.com
http://service.{BLOCKED}c.analytics.yahoo.com
http://sqm.{BLOCKED}try.microsoft.com
http://protected-by.{BLOCKED}m.io
http://cdn3.{BLOCKED}verify.com
http://www.{BLOCKED}tagservices.com
http://c.{BLOCKED}d.com
http://d.{BLOCKED}n.com
http://ieonline.{BLOCKED}oft.com
http://swc.{BLOCKED}n.skype.com
http://config.{BLOCKED}e.skype.com

このウイルス情報は、自動解析システムにより作成されました。

対応方法

対応検索エンジン: 9.850

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「TROJ_NGRBOT_DD30048E.UVPA」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。
検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{3E5A36D1-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{348155DE-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{348155E0-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
%AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{3E5A36D1-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{348155DE-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{348155E0-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{3E5A36D1-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{348155DE-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{348155E0-AF18-11E9-8BEF-005056BC4DBC}.dat
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 4

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\Microsoft\Windows\IECompatCache
%Application Data%\Microsoft\Windows\IECompatUACache
%AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
%Application Data%\Microsoft\Windows\DNTException
%Application Data%\Microsoft\Windows\PrivacIE

このマルウェアまたはアドウェア等が作成したフォルダの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に、以下のフォルダ名を入力してください。
%Application Data%\Microsoft\Windows\IECompatCache
%Application Data%\Microsoft\Windows\IECompatUACache
%AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
%Application Data%\Microsoft\Windows\DNTException
%Application Data%\Microsoft\Windows\PrivacIE
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、フォルダを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 4.）を繰り返してください。
%Application Data%\Microsoft\Windows\IECompatCache
%Application Data%\Microsoft\Windows\IECompatUACache
%AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
%Application Data%\Microsoft\Windows\DNTException
%Application Data%\Microsoft\Windows\PrivacIE

註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%Application Data%\Microsoft\Windows\IECompatCache
%Application Data%\Microsoft\Windows\IECompatUACache
%AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
%Application Data%\Microsoft\Windows\DNTException
%Application Data%\Microsoft\Windows\PrivacIE
検索が終了したら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 3.）を繰り返してください。
%Application Data%\Microsoft\Windows\IECompatCache
%Application Data%\Microsoft\Windows\IECompatUACache
%AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
%AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
%Application Data%\Microsoft\Windows\DNTException
%Application Data%\Microsoft\Windows\PrivacIE

註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_NGRBOT_DD30048E.UVPA」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 6

以下のファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
%AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml

手順 7

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア／グレイウェア／スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

%AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico

ご利用はいかがでしたか？　アンケートにご協力ください