Virus.Win32.RAMNIT.DSI.orig
Windows
- マルウェアタイプ: ファイル感染型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ウイルスは、以下のプロセスを追加します。
- %User Temp%\{malware file name}mgr.exe
- %System%\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- %System Root%\Program Files\Internet Explorer\iexplore.exe
- %System%\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:2480 CREDAT:275457 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:2480 CREDAT:406531 /prefetch:2
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:2480 CREDAT:537617 /prefetch:2
- PING 127.0.0.1 -n 2
- "%Application Data%\Microsoft SVHost\svchost.exe"
- %Application Data%\Microsoft SVHost\svchostmgr.exe
- %Program Files%\Internet Explorer\iexplore.exe
- %Program Files%\Internet Explorer\iexploremgr.exe
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
ウイルスは、以下のフォルダを作成します。
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
- %Application Data%\Microsoft\Windows\IECompatUACache
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
- %Application Data%\Microsoft\Windows\IECompatCache
- %Application Data%\remcos
- %Application Data%\Microsoft\Windows\DNTException
- %Application Data%\Microsoft\Windows\PrivacIE
- %Application Data%\Microsoft SVHost
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
自動実行方法
ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft SVChost Service = "%Application Data%\Microsoft SVHost\svchost.exe"
他のシステム変更
ウイルスは、以下のファイルを削除します。
- %Application Data%\Mozilla\Firefox\Profiles\lj5mikyj.default\key3.db
- %Application Data%\Mozilla\Firefox\Profiles\lj5mikyj.default\cookies.sqlite
- %AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
- %Application Data%\Mozilla\Firefox\Profiles\lj5mikyj.default\logins.json
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
ウイルスは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
HKEY_CURRENT_USER\Software\remcos_hvbmtksknx
ウイルスは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
Run
Microsoft SVChost Service = "%Application Data%\Microsoft SVHost\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows NT\CurrentVersion\
Winlogon
Shell = "explorer.exe, %Application Data%\Microsoft SVHost\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows NT\CurrentVersion\
Winlogon
Userinit = "%System%\userinit.exe, %Application Data%\Microsoft SVHost\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Microsoft SVChost Service = "%Application Data%\Microsoft SVHost\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"
HKEY_CURRENT_USER\Software\remcos_hvbmtksknx
EXEpath = "{random characters}"
HKEY_CURRENT_USER\Software\remcos_hvbmtksknx
Inj = "1"
HKEY_CURRENT_USER\Software\remcos_hvbmtksknx
FR = "1"
ウイルスは、以下のレジストリキーを削除します。
HKEY_CURRENT_USER\Software\remcos_hvbmtksknx\
Inj
作成活動
ウイルスは、以下のファイルを作成します。
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{1C4CD130-B7E6-11E9-87F0-005056BC6F22}.dat
- %Program Files%\Internet Explorer\iexploremgr.exe
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{26874A8E-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{1C4CD131-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\secure-ds.serving-sys[1].xml
- {malware path and file name}.exemgr.exe
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{1C4CD133-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{525AFC4A-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{1C4CD12E-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
- %Application Data%\Microsoft SVHost\svchostmgr.exe
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{26874A8C-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{2DA4473E-B7E6-11E9-87F0-005056BC6F22}.dat
- %Application Data%\Microsoft SVHost\svchost.exe
その他
ウイルスは、以下の不正なWebサイトにアクセスします。
- http://go.{BLOCKED}oft.com/fwlink/?LinkId=69157
- http://www.{BLOCKED}n.com/?ocid=iehp
- http://o.{BLOCKED}n.com/ads/adswrappermsni.js
- http://static-global-s-msn-com.{BLOCKED}zed.net/{random path}?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpOUO.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGUW9m.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBiwNf.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIOXy.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXINoU.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIsjk.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXFX77.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/hp-wus/sc/ea/4996b9.woff
- http://static-global-s-msn-com.{BLOCKED}zed.net/hp-wus/sc/c6/cfdbd9.png
- http://www.{BLOCKED}n.com/en-us/homepage/irisbannerajax?{random characters}
- http://c.{BLOCKED}n.com/c.gif?{random characters}
- http://c.{BLOCKED}g.com/c.gif?{random characters}
- http://at.{BLOCKED}a.com/{random path}
- http://adserver.{BLOCKED}h.advertising.com/{random path}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAyxkRJ.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXFC6i.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXHssu.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBAq9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXITgA.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBReDbo.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWPnBj.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIXWt.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA3lldo.img?{random characters}
- http://acdn.{BLOCKED}s.com/ast/ast.js
- http://banner.{BLOCKED}ising.com/ads/msn3.html
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIrGO.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAxeZXL.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXnkYq.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBAJ56P.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXc5BR.img?{random characters}
- http://g.{BLOCKED}g.com/uac/request?{random characters}
- http://g.{BLOCKED}g.com/uac/response?{random characters}
- http://static.{BLOCKED}eat.com/js/{BLOCKED}eat.js
- http://m.{BLOCKED}s.com/ut/v3
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXtZXZ.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA90cIE.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUDFrs.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAE8xlk.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIM6SY.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUE38v.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAILYH4.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXGRfz.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBRL5wW.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAFtT2V.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIpBM.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AA565dd.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIyZb.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIAwq.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAyhxXG.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX6tK3.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BB90I6E.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AA8I0Dg.img?{random characters}
- http://ping.{BLOCKED}eat.net/ping?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXDcoo.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIT81.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAEHtW3.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAyW7G9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIuiG.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBTg0tm.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIwrH.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIIry.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBXpxql.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAfbgYI.img?{random characters}
- http://eb2.{BLOCKED}t.com/mapuid?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIOO4.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBqlEdK.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAFeXn0.img?{random characters}
- http://eb2.{BLOCKED}t.com/getuid?ld=1&gdpr=0&cmp_cs=
- http://www.{BLOCKED}n.com/en-us/homepage/npsajax?ver=20191116_19676952
- http://widgets.{BLOCKED}in.com/external/publishers/msn/MSNIdSync.js
- http://cdn.{BLOCKED}a.com/TaboolaCookieSyncScript.js
- http://ib.{BLOCKED}s.com/async_usersync_file
- http://tag.{BLOCKED}p.advertising.com/{BLOCKED}p.js
- http://acdn.{BLOCKED}s.com/dmp/async_usersync.html
- http://c.{BLOCKED}g.com/c.gif?Red3=MSOATH_pd
- http://sync.{BLOCKED}in.com/uidmapjsonp?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAt0eFC.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBnGKDa.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWHr0i.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXGX6Z.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB90I6E.img?{random characters}
- http://ib.{BLOCKED}s.com/async_usersync?cbfn=queuePixels
- http://lax1-ib.{BLOCKED}s.com/it?{random characters}
- http://confiant.{BLOCKED}n.com/?{random characters}
- http://cdn.{BLOCKED}verify.com/dv-match6.js
- http://rtb2.{BLOCKED}verify.com/verify.js?{random characters}
- http://usw-lax.{BLOCKED}r.org/bid/feedback/appnexus?{random characters}
- http://lax1-ib.{BLOCKED}s.com/rd_log?{random characters}
- http://acdn.{BLOCKED}s.com/dmp/async_usersync.html?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAB8UW7.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AABDUsZ.img?{random characters}
- http://tps704.{BLOCKED}verify.com/bsevent.gif?{random characters}
- http://lax1-ib.{BLOCKED}s.com/click?{random characters}
- http://odr.{BLOCKED}1.com/t/v2/sync?{random characters}
- http://www.{BLOCKED}n.com/en-us/homepage/api/pagedatarequest?{random characters}
- http://cdn.{BLOCKED}s.com/v/s/182/trk.js
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIcoa.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAEH6c0.img?{random characters}
- http://ib.{BLOCKED}s.com/async_usersync?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIzOU.img?{random characters}
- http://lax1-ib.{BLOCKED}s.com/vevent?{random characters}
- http://cm.{BLOCKED}g.doubleclick.net/pixel?{random characters}
- http://tps703.{BLOCKED}verify.com/bsevent.gif?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIrQS.img?{random characters}
- http://tps700.{BLOCKED}verify.com/bsevent.gif?{random characters}
- http://di.{BLOCKED}n.com/468246.html?{random characters}
- http://tps702.{BLOCKED}verify.com/bsevent.gif?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAvcS6D.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXEj6G.img?{random characters}
- http://tps.{BLOCKED}verify.com/visit.js?{random characters}
- http://c.{BLOCKED}n.com/geo/ba.js?r181114
- http://c.{BLOCKED}n.com/a/4.gif
- http://{BLOCKED}4.149.100/rd_log?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AACy14K.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWBsue.img?{random characters}
- http://tps11027.{BLOCKED}verify.com/event.png?{random characters}
- http://tps30.{BLOCKED}verify.com/query.js?ctx=818052&cmp=1239517532
- http://tps11028.{BLOCKED}verify.com/event.png?{random characters}
- http://c.{BLOCKED}n.com/a/n/709/66266.js
- http://tps11019.{BLOCKED}verify.com/event.png?{random characters}
- http://tps11008.{BLOCKED}verify.com/event.png?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXFHUy.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAfZ6og.img?{random characters}
- http://c.{BLOCKED}n.com/a/COMMON.css?r=0.2787166054441675
- http://c.{BLOCKED}n.com/icon/ci.png
- http://c.{BLOCKED}n.com/icon/box_19_top-left.png
- http://l.{BLOCKED}d.com/{random path}?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWGZkw.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAxf7dg.img?{random characters}
- http://tps11011.{BLOCKED}verify.com/event.png?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIbGq.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBnb7v3.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAf2cjT.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXclAW.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBRMWiy.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXiigu.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIFZk.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXGR5P.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBJjkFU.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywOab.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIyvy.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAFwPRe.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAtKMMs.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA3dLwz.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBX0FIh.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWBrSh.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIOII.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB857LO.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIA4j.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBCdwL6.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXEMlD.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXEpi2.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWIc7n.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXvIj7.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB4kwAp.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIwlC.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXFYvD.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAuAlST.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXbT3l.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAFu3wT.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJjwT6.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywGC0.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXIwOr.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXFoEB.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBWBPol.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AACMkwg.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAILHV4.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AABiFEE.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBz3ebk.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXFHBq.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBNvr53.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXw060.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXwvgn.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXw7Ur.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBXwfxO.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpDJm.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpJTA.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpMwR.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGw23J.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGw4Q8.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGvLL9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGvV00.img?{random characters}
- http://api.{BLOCKED}g.com
- http://www.{BLOCKED}g.com
- http://linkmaker.{BLOCKED}s.apple.com
- http://sb.{BLOCKED}ardresearch.com
- http://web.{BLOCKED}x.data.msn.com
- http://cms.{BLOCKED}ics.yahoo.com
- http://msn.{BLOCKED}dome.com
- http://widgets.{BLOCKED}e.com
- http://contextual.{BLOCKED}a.net
- http://login.{BLOCKED}e.com
- http://px.{BLOCKED}s.linkedin.com
- http://www.{BLOCKED}in.com
- http://p.{BLOCKED}totic.com
- http://tag.{BLOCKED}c.analytics.yahoo.com
- http://img-prod-cms-rt-microsoft-com.{BLOCKED}zed.net
- http://arc.{BLOCKED}n.com
- http://hbx.{BLOCKED}a.net
- http://pr-bh.{BLOCKED}p.yahoo.com
- http://srtb.{BLOCKED}n.com
- http://gum.{BLOCKED}o.com
- http://service.{BLOCKED}c.analytics.yahoo.com
- http://idsync.{BLOCKED}n.com
- http://tags.{BLOCKED}i.com
- http://b1sync.{BLOCKED}a.com
- http://res.{BLOCKED}a.net
- http://dpm.{BLOCKED}x.net
- http://match.{BLOCKED}r.org
- http://beacon.{BLOCKED}d.net
- http://aa.{BLOCKED}n.com
- http://rtb.{BLOCKED}vr.com
- http://sync-jp.{BLOCKED}s.net
- http://dis.{BLOCKED}o.com
- http://x.{BLOCKED}tch.net
- http://de9a11s35xj3d.{BLOCKED}ront.net
- http://hblg.{BLOCKED}a.net
- http://lg3.{BLOCKED}a.net
- http://rtb-usw.{BLOCKED}vr.com
- http://{BLOCKED}o.com
- http://cd.{BLOCKED}p.com
- http://dsp.{BLOCKED}1.adition.com
- http://px.{BLOCKED}inks.com
- http://ps.{BLOCKED}a.net
- http://loadus.{BLOCKED}or.com
- http://id.{BLOCKED}m.com
- http://{BLOCKED}k.com
- http://sync.{BLOCKED}trl.net
- http://dmp.{BLOCKED}ik.com
- http://e.{BLOCKED}x.addthis.com
- http://stags.{BLOCKED}i.com
- http://dm.{BLOCKED}d.ai
- http://x.{BLOCKED}x.addthis.com
- http://protected-by.{BLOCKED}m.io
- http://load77.{BLOCKED}or.com
- http://www.{BLOCKED}tagservices.com
- http://cdn3.{BLOCKED}verify.com
- http://fk.{BLOCKED}nengine.net
- http://bs.{BLOCKED}g-sys.com
- http://cvision.{BLOCKED}a.net
- http://secure-ds.{BLOCKED}g-sys.com
- http://p.{BLOCKED}d.com
- http://z.{BLOCKED}s.com
- http://ieonline.{BLOCKED}oft.com
- http://cdn2.{BLOCKED}dvertising.com
- http://tapestry.{BLOCKED}d.com
- http://lm.{BLOCKED}g-sys.com
- http://sqm.{BLOCKED}try.microsoft.com
- http://px.{BLOCKED}s.com
- http://c.{BLOCKED}d.com
- http://api.{BLOCKED}dvertising.com
- http://d.{BLOCKED}n.com
- http://secure-gl.{BLOCKED}ldwide.com
- http://www.{BLOCKED}ok.com
- {BLOCKED}1.193.99
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
「Virus.Win32.RAMNIT.DSI.orig」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 4
不明なレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- Run
- In HKEY_CURRENT_USER\Software
- remcos_hvbmtksknx
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Microsoft SVChost Service = "%Application Data%\Microsoft SVHost\svchost.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
- Microsoft SVChost Service = "%Application Data%\Microsoft SVHost\svchost.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = "explorer.exe, %Application Data%\Microsoft SVHost\svchost.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = "%System%\userinit.exe, %Application Data%\Microsoft SVHost\svchost.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- Microsoft SVChost Service = "%Application Data%\Microsoft SVHost\svchost.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLUA = "0"
- In HKEY_CURRENT_USER\Software\remcos_hvbmtksknx
- EXEpath = "{random characters}"
- In HKEY_CURRENT_USER\Software\remcos_hvbmtksknx
- Inj = "1"
- In HKEY_CURRENT_USER\Software\remcos_hvbmtksknx
- FR = "1"
手順 6
以下のファイルを検索し削除します。
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{1C4CD130-B7E6-11E9-87F0-005056BC6F22}.dat
- %Program Files%\Internet Explorer\iexploremgr.exe
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{26874A8E-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{1C4CD131-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\secure-ds.serving-sys[1].xml
- {malware path and file name}.exemgr.exe
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{1C4CD133-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{525AFC4A-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{1C4CD12E-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
- %Application Data%\Microsoft SVHost\svchostmgr.exe
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{26874A8C-B7E6-11E9-87F0-005056BC6F22}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{2DA4473E-B7E6-11E9-87F0-005056BC6F22}.dat
- %Application Data%\Microsoft SVHost\svchost.exe
手順 7
以下のフォルダを検索し削除します。
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
- %Application Data%\Microsoft\Windows\IECompatUACache
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
- %Application Data%\Microsoft\Windows\IECompatCache
- %Application Data%\remcos
- %Application Data%\Microsoft\Windows\DNTException
- %Application Data%\Microsoft\Windows\PrivacIE
- %Application Data%\Microsoft SVHost
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Virus.Win32.RAMNIT.DSI.orig」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 9
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %Application Data%\Mozilla\Firefox\Profiles\lj5mikyj.default\key3.db
- %Application Data%\Mozilla\Firefox\Profiles\lj5mikyj.default\cookies.sqlite
- %AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
- %Application Data%\Mozilla\Firefox\Profiles\lj5mikyj.default\logins.json
手順 10
以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。
※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。
- In HKEY_CURRENT_USER\Software\remcos_hvbmtksknx
- Inj
ご利用はいかがでしたか? アンケートにご協力ください