![Trend Micro Security](https://www.trendmicro.com/content/dam/trendmicro/global/en/global/logo/logo-desktop.png)
TROJ_NGRBOT_DD30048E.UVPA
Windows
![](/vinfo/imgFiles/JPlegend.jpg)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- %Program Files%\Internet Explorer\iexplore.exe
- "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE"
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:2592 CREDAT:275457 /prefetch:2
(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
マルウェアは、以下のフォルダを作成します。
- %Application Data%\Microsoft\Windows\IECompatCache
- %Application Data%\Microsoft\Windows\IECompatUACache
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
- %Application Data%\Microsoft\Windows\DNTException
- %Application Data%\Microsoft\Windows\PrivacIE
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
他のシステム変更
マルウェアは、以下のファイルを改変します。
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
マルウェアは、以下のファイルを削除します。
- %AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
作成活動
マルウェアは、以下のファイルを作成します。
- %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{3E5A36D1-AF18-11E9-8BEF-005056BC4DBC}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{348155DE-AF18-11E9-8BEF-005056BC4DBC}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{348155E0-AF18-11E9-8BEF-005056BC4DBC}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://go.{BLOCKED}oft.com/fwlink/?LinkId=69157
- http://www.{BLOCKED}n.com/?ocid=iehp
- http://o.{BLOCKED}n.com/ads/adswrappermsni.js
- http://static-global-s-msn-com.{BLOCKED}zed.net/{random path}?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpOUO.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGUW9m.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB1kc8s.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AABN6T1.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXaT05.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbUXa.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX8QSS.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX8QYZ.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/hp-wus/sc/ea/4996b9.woff
- http://www.{BLOCKED}n.com/en-us/homepage/irisbannerajax?{random characters}
- http://c.{BLOCKED}n.com/c.gif?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/hp-wus/sc/c6/cfdbd9.png
- http://c.{BLOCKED}g.com/c.gif?{random characters}
- http://at.{BLOCKED}a.com/{random path}
- http://adserver.{BLOCKED}h.advertising.com/{random path}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBnGKDa.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGsFdq.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywGC0.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbUDX.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBNvr53.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywHbG.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXaulb.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbjeq.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWIAeE.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB1GufW.img?{random characters}
- http://banner.{BLOCKED}ising.com/ads/msn3.html
- http://acdn.{BLOCKED}s.com/ast/ast.js
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB4KnC.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXb3QA.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAC9NeA.img?{random characters}
- http://g.{BLOCKED}g.com/uac/request?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXaTnP.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJzOXm.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAA8PBm.img?{random characters}
- http://g.{BLOCKED}g.com/uac/response?{random characters}
- http://static.{BLOCKED}eat.com/js/{BLOCKED}eat.js
- http://m.{BLOCKED}s.com/ut/v3
- http://www.{BLOCKED}n.com/en-us/homepage/npsajax?ver=20191116_19676952
- http://ping.{BLOCKED}eat.net/ping?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbbtF.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBCleeG.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXb5CR.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAesHLQ.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX9yTx.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUDFrs.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUDFvK.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUE38v.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAILYH4.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIM6SY.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXasyA.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAEHtW3.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAyW7G9.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBTg0tm.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAFtJdp.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBRL5wW.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AA565dd.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBTUVWY.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAyhxXG.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX8pOa.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbNpu.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbaMJ.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbZrF.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX9Zvt.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX8VsG.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbwW7.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbTTE.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXby9m.img?{random characters}
- http://eb2.{BLOCKED}t.com/mapuid?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX5I7Y.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGUjnZ.img?{random characters}
- http://eb2.{BLOCKED}t.com/getuid?ld=1&gdpr=0&cmp_cs=
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAyHM48.img?{random characters}
- http://tag.{BLOCKED}p.advertising.com/{BLOCKED}p.js
- http://cdn.{BLOCKED}a.com/TaboolaCookieSyncScript.js
- http://widgets.{BLOCKED}in.com/external/publishers/msn/MSNIdSync.js
- http://ib.{BLOCKED}s.com/async_usersync_file
- http://sync.{BLOCKED}in.com/uidmapjsonp?{random characters}
- http://acdn.{BLOCKED}s.com/dmp/async_usersync.html
- http://c.{BLOCKED}g.com/c.gif?Red3=MSOATH_pd
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJF9n3.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIdNNX.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIM1Of.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBiuMZc.img?{random characters}
- http://ib.{BLOCKED}s.com/async_usersync?cbfn=queuePixels
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXaTkf.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBKbHiE.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AACkSXj.img?{random characters}
- http://lax1-ib.{BLOCKED}s.com/it?{random characters}
- http://confiant.{BLOCKED}n.com/?{random characters}
- http://usw-lax.{BLOCKED}r.org/bid/feedback/appnexus?{random characters}
- http://cdn.{BLOCKED}verify.com/dv-match6.js
- http://rtb2.{BLOCKED}verify.com/verify.js?{random characters}
- http://tps710.{BLOCKED}verify.com/bsevent.gif?{random characters}
- http://tps705.{BLOCKED}verify.com/bsevent.gif?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWRZ5x.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX9WoT.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX4gto.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbxxg.img?{random characters}
- http://tps.{BLOCKED}verify.com/visit.js?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJTv7C.img?{random characters}
- http://acdn.{BLOCKED}s.com/dmp/async_usersync.html?{random characters}
- http://{BLOCKED}4.148.166/rd_log?{random characters}
- http://c.{BLOCKED}n.com/geo/ba.js?r181114
- http://c.{BLOCKED}n.com/a/4.gif
- http://lax1-ib.{BLOCKED}s.com/rd_log?{random characters}
- http://c.{BLOCKED}n.com/a/n/709/66266.js
- http://cdn.{BLOCKED}s.com/v/s/182/trk.js
- http://tps11026.{BLOCKED}verify.com/event.png?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX0F6F.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAgi0nZ.img?{random characters}
- http://lax1-ib.{BLOCKED}s.com/vevent?{random characters}
- http://c.{BLOCKED}n.com/a/COMMON.css?r=0.8736690922127264
- http://c.{BLOCKED}n.com/icon/box_19_top-left.png
- http://c.{BLOCKED}n.com/icon/ci.png
- http://c.{BLOCKED}n.com/a/COMMON.css?r=0.28755078914736276
- http://l.{BLOCKED}d.com/{random path}?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJDt8c.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBOPUKu.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX4oIm.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJStpN.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX9X3X.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBAmaS5.img?{random characters}
- http://ib.{BLOCKED}s.com/async_usersync?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX9XSF.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AABiyAn.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXaqn9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBph6Sm.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX0IHG.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWLm1b.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX0cj9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJUkNI.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUE92F.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX97bM.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAxspu1.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX3Wwy.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBAjq9b.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX0uHF.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBjLpNF.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWIyaJ.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAtKMMs.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXa59s.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywSGf.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB16BrH.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA3ltd8.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIVQlL.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA9Aicg.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWPq93.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX8qgW.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBMwL1F.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAaeOki.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJuRKe.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWI9Yw.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AACy14K.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAlQCaw.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA6pevu.img?{random characters}
- http://www.{BLOCKED}n.com/en-us/homepage/api/pagedatarequest?{random characters}
- http://api.{BLOCKED}g.com
- http://www.{BLOCKED}g.com
- http://linkmaker.{BLOCKED}s.apple.com
- http://sb.{BLOCKED}ardresearch.com
- http://web.{BLOCKED}x.data.msn.com
- http://cms.{BLOCKED}ics.yahoo.com
- http://widgets.{BLOCKED}e.com
- http://msn.{BLOCKED}dome.com
- http://contextual.{BLOCKED}a.net
- http://login.{BLOCKED}e.com
- http://px.{BLOCKED}s.linkedin.com
- http://www.{BLOCKED}in.com
- http://lg3.{BLOCKED}a.net
- http://gum.{BLOCKED}o.com
- http://tag.{BLOCKED}c.analytics.yahoo.com
- http://hblg.{BLOCKED}a.net
- http://res.{BLOCKED}a.net
- http://de9a11s35xj3d.{BLOCKED}ront.net
- http://rtb-usw.{BLOCKED}vr.com
- http://srtb.{BLOCKED}n.com
- http://hbx.{BLOCKED}a.net
- http://cvision.{BLOCKED}a.net
- http://pr-bh.{BLOCKED}p.yahoo.com
- http://img-prod-cms-rt-microsoft-com.{BLOCKED}zed.net
- http://arc.{BLOCKED}n.com
- http://{BLOCKED}k.com
- http://b1sync.{BLOCKED}a.com
- http://dmp.{BLOCKED}ik.com
- http://idsync.{BLOCKED}n.com
- http://tags.{BLOCKED}i.com
- http://stags.{BLOCKED}i.com
- http://sync-jp.{BLOCKED}s.net
- http://match.{BLOCKED}r.org
- http://beacon.{BLOCKED}d.net
- http://rtb.{BLOCKED}vr.com
- http://x.{BLOCKED}tch.net
- http://dis.{BLOCKED}o.com
- http://aa.{BLOCKED}n.com
- http://cd.{BLOCKED}p.com
- http://cm.{BLOCKED}g.doubleclick.net
- http://px.{BLOCKED}inks.com
- http://dsp.{BLOCKED}1.adition.com
- http://ps.{BLOCKED}a.net
- http://loadus.{BLOCKED}or.com
- http://dpm.{BLOCKED}x.net
- http://id.{BLOCKED}m.com
- http://sync.{BLOCKED}trl.net
- http://{BLOCKED}o.com
- http://p.{BLOCKED}b.com
- http://i.{BLOCKED}m.com
- http://e.{BLOCKED}x.addthis.com
- http://x.{BLOCKED}x.addthis.com
- http://service.{BLOCKED}c.analytics.yahoo.com
- http://sqm.{BLOCKED}try.microsoft.com
- http://protected-by.{BLOCKED}m.io
- http://cdn3.{BLOCKED}verify.com
- http://www.{BLOCKED}tagservices.com
- http://c.{BLOCKED}d.com
- http://d.{BLOCKED}n.com
- http://ieonline.{BLOCKED}oft.com
- http://swc.{BLOCKED}n.skype.com
- http://config.{BLOCKED}e.skype.com
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「TROJ_NGRBOT_DD30048E.UVPA」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
以下のファイルを検索し削除します。
- %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{3E5A36D1-AF18-11E9-8BEF-005056BC4DBC}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{348155DE-AF18-11E9-8BEF-005056BC4DBC}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{348155E0-AF18-11E9-8BEF-005056BC4DBC}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml
手順 4
以下のフォルダを検索し削除します。
- %Application Data%\Microsoft\Windows\IECompatCache
- %Application Data%\Microsoft\Windows\IECompatUACache
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
- %Application Data%\Microsoft\Windows\DNTException
- %Application Data%\Microsoft\Windows\PrivacIE
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_NGRBOT_DD30048E.UVPA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 6
以下のファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
手順 7
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
ご利用はいかがでしたか? アンケートにご協力ください