TROJ_RANSOM.IEI
Trojan:Win32/Ransom.KW (Microsoft); Troj/Ransom-LA (Sophos)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %System Root%\ProgramData\svcfnmainstvestvs\stppthmainfv.dll
- %System Root%\how to decrypt files.lnk
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
マルウェアは、以下のフォルダを作成します。
- %System Root%\ProgramData
- %System Root%\ProgramData\{random number}
- %System Root%\ProgramData\svcfnmainstvestvs
- %System Root%\ProgramData\svtstcrs
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs
ImagePath = {malware path and filename}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs
DisplayName = "Windows Security Accounts Manager"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs
Description = "The startup of this service signals to other services that the Security Accounts Manager (SAM) is ready to accept other requests. Disabling this service will prevent other services in the system from being notified when the SAM is ready, which may in turn cause those services to fail to start correctly. This service should not be disabled."
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
svchost = "%System Root%\{random number}\svchost.exe"
情報漏えい
マルウェアは、以下のパラメータを受け取ります。
- "-i" - Install the malware as a service
- "install" - Install the malware as a service
- "-d" - Delete the service
- "-u" - Delete the service
- "delete" - Delete the malware service
- "-s" - Start the malware service
- "start" - Start the malware service
- "-k" - Stop the malware service
- "kill" - Stop the malware service
- "stop" - Stop the malware service
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
以下のファイルを検索し削除します。
- %System Root%\how to decrypt files.lnk
- %System Root%\ProgramData\svcfnmainstvestvs\stppthmainfv.dll
手順 3
以下のフォルダを検索し削除します。
- %System Root%\ProgramData
- %System Root%\ProgramData\svcfnmainstvestvs
- %System Root%\ProgramData\svtstcrs
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WinSamSs
- WinSamSs
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- svchost = "%System Root%\{random numbers}\svchost.exe
- svchost = "%System Root%\{random numbers}\svchost.exe
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_RANSOM.IEI」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください