WORM_QHOST.TX 2012年10月8日
解析者: Karl Dominguez
マルウェアタイプ: ワーム 破壊活動の有無: なし 暗号化: はい 感染報告の有無: はい ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
ワームは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このワームは実行されます。
ワームは、特定のレジストリ値を変更し、ファイルの拡張子を非表示にします。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、ネットワーク共有フォルダを経由してコンピュータに侵入します。
ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
%System%\Default.scr %System%\config\cache\Dasktop.ini %System%\config\lsass.exe (註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
ワームは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このワームは実行されます。
ワームは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。
OLLYDBG SICE SIWVID NTICE REGSYS REGVXG FILEVXG FILEM TRW ICEEXT 自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run Intel Audio Driver = %System%\config\lsass.exe
他のシステム変更
ワームは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Control Panel\Desktop SCRNSAVE.EXE = %System%\Default.scr
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 15 = guardgui.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion\systemrestore DisableSR = 1
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Associations LowRiskFileTypes = .exe;.bat;.reg;.scr;
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Attachments SaveZoneInformation = 1
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer DisallowRun = 1
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 0 = avp.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 1 = avz.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 2 = autoruns.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 3 = outpost.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 4 = spidernt.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 5 = SpyDerAgent.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 6 = dwengine.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 7 = spiderui.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 8 = acs.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 9 = op_mon.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 10 = klnagent.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 11 = egui.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 12 = sched.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 13 = avgnt.exe
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ Explorer\Disallowrun 14 = avguard.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\ explorer NoFolderoptions = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Security Center FirewallOverride = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Security Center FirewallDisableNotify = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\ FirewallPolicy\StardardProfile DisableNotifications = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\ FirewallPolicy\StardardProfile DoNotAllowExceptions = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\ FirewallPolicy\StardardProfile enableFirewall = 0
ワームは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\SystemRestore DisableSR = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop ScreenSaveTimeOut = 100
(註:変更前の上記レジストリ値は、「{user-defined}」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop ScreenSaveActive = 1
(註:変更前の上記レジストリ値は、「{user-defined}」となります。)
ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\ Advanced Hidden = 0
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\ Advanced ShowSuperHidden = 0
(註:変更前の上記レジストリ値は、「1」となります。)
ワームは、以下のレジストリキーを削除します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot
ワームは、以下のレジストリ値を変更し、ファイルの拡張子を非表示にします。
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\ Advanced HideFileExt = 1
(註:変更前の上記レジストリ値は、「0」となります。)
感染活動
ワームは、すべての物理ドライブおよびリムーバブルドライブ内でフォルダを検索し、検索したフォルダ内に "<フォルダ名>.EXE" として自身のコピーを作成します。
ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
;{garbage codes} [AutoRun] ;{garbage codes} open={malware file name}.scr ;{garbage codes} shell\Open\command={malware file name}.scr ;{garbage codes}
プロセスの終了
ワームは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。
acs.exe autoruns.exe avgnt.exe avguard.exe avp.exe avz.exe dwengine.exe egui.exe ESET NOD32 Antivirus ESET Smart Security filemon.exe guardgui.exe HiJackThis.exe Kaspersky Internet Security KillProcess.exe klnagent.exe msconfig.exe op_mon.exe OS.exe outpost.exe phunter.exe PrcInfo.exe Prcview.exe Process Viewer procexp.exe procmon.exe Reg Organizer regedit.exe regmon.exe sched.exe Security Task Manager servise.exe spidernt.exe spiderui.exe SpyDerAgent.exe Symantec AntiVirus sysinspector.exe TaskInfo.exe Unlocker.exe UnlockerAssistant.exe HOSTSファイルの改変
ワームは、WindowsのHOSTSファイルに以下の文字列を追加します。
{BLOCKED}.{BLOCKED}.168.212 www.viruslist.com {BLOCKED}.{BLOCKED}.168.212 www.kaspersky.ru {BLOCKED}.{BLOCKED}.168.212 www.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 www.securelist.com {BLOCKED}.{BLOCKED}.168.212 z-oleg.com {BLOCKED}.{BLOCKED}.168.212 www.trendsecure.com {BLOCKED}.{BLOCKED}.168.212 ftp.drweb.com {BLOCKED}.{BLOCKED}.168.212 virusinfo.info {BLOCKED}.{BLOCKED}.168.212 www.viruslab.ru {BLOCKED}.{BLOCKED}.168.212 www.novirus.ru {BLOCKED}.{BLOCKED}.168.212 online.drweb.com {BLOCKED}.{BLOCKED}.168.212 www.informyx.ru {BLOCKED}.{BLOCKED}.168.212 vms.drweb.com {BLOCKED}.{BLOCKED}.168.212 stopvirus.ru {BLOCKED}.{BLOCKED}.168.212 www.esetnod32.ru {BLOCKED}.{BLOCKED}.168.212 devbuilds.kaspersky-labs.com {BLOCKED}.{BLOCKED}.168.212 www.agnitum.ru {BLOCKED}.{BLOCKED}.168.212 www.drweb.com {BLOCKED}.{BLOCKED}.168.212 www.avirus.ru {BLOCKED}.{BLOCKED}.168.212 dnl-00.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-00.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-01.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-02.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-03.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-04.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-05.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-06.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-07.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-08.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-09.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-10.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-11.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-12.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-13.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-14.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-15.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-15.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-16.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-17.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-18.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-19.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 dnl-20.geo.kaspersky.com {BLOCKED}.{BLOCKED}.168.212 downloads1.kaspersky-labs.com {BLOCKED}.{BLOCKED}.168.212 downloads2.kaspersky-labs.com {BLOCKED}.{BLOCKED}.168.212 downloads3.kaspersky-labs.com {BLOCKED}.{BLOCKED}.168.212 downloads4.kaspersky-labs.com {BLOCKED}.{BLOCKED}.168.212 downloads5.kaspersky-labs.com {BLOCKED}.{BLOCKED}.168.212 msk1.drweb.com {BLOCKED}.{BLOCKED}.168.212 msk2.drweb.com {BLOCKED}.{BLOCKED}.168.212 msk3.drweb.com {BLOCKED}.{BLOCKED}.168.212 msk4.drweb.com {BLOCKED}.{BLOCKED}.168.212 msk5.drweb.com {BLOCKED}.{BLOCKED}.168.212 download.eset.com {BLOCKED}.{BLOCKED}.168.212 u40.eset.com {BLOCKED}.{BLOCKED}.168.212 u41.eset.com {BLOCKED}.{BLOCKED}.168.212 u42.eset.com {BLOCKED}.{BLOCKED}.168.212 u43.eset.com {BLOCKED}.{BLOCKED}.168.212 u44.eset.com {BLOCKED}.{BLOCKED}.168.212 u45.eset.com {BLOCKED}.{BLOCKED}.168.212 u46.eset.com {BLOCKED}.{BLOCKED}.168.212 u47.eset.com {BLOCKED}.{BLOCKED}.168.212 u48.eset.com {BLOCKED}.{BLOCKED}.168.212 u49.eset.com {BLOCKED}.{BLOCKED}.168.212 u50.eset.com {BLOCKED}.{BLOCKED}.168.212 u51.eset.com {BLOCKED}.{BLOCKED}.168.212 u52.eset.com {BLOCKED}.{BLOCKED}.168.212 u53.eset.com {BLOCKED}.{BLOCKED}.168.212 u54.eset.com {BLOCKED}.{BLOCKED}.168.212 u55.eset.com {BLOCKED}.{BLOCKED}.168.212 u56.eset.com {BLOCKED}.{BLOCKED}.168.212 u57.eset.com {BLOCKED}.{BLOCKED}.168.212 u58.eset.com {BLOCKED}.{BLOCKED}.168.212 u59.eset.com {BLOCKED}.{BLOCKED}.168.212 um10.eset.com {BLOCKED}.{BLOCKED}.168.212 um11.eset.com {BLOCKED}.{BLOCKED}.168.212 um12.eset.com {BLOCKED}.{BLOCKED}.168.212 um13.eset.com {BLOCKED}.{BLOCKED}.168.212 um14.eset.com {BLOCKED}.{BLOCKED}.168.212 um15.eset.com {BLOCKED}.{BLOCKED}.168.212 um16.eset.com {BLOCKED}.{BLOCKED}.168.212 um17.eset.com {BLOCKED}.{BLOCKED}.168.212 um18.eset.com {BLOCKED}.{BLOCKED}.168.212 um19.eset.com 手順 1
Windows XP および Windows Server 2003 のユーザは 、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効 にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_QHOST.TX 」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 3
このレジストリ値を削除します。
[ 詳細 ]
[ 戻る ]
警告: レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。 レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。 レジストリの編集前にこちら をご参照ください。
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Intel Audio Driver = %System%\config\lsass.exe
HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = %System%\Default.scr
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\systemrestore
DisableSR = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
LowRiskFileTypes = .exe;.bat;.reg;.scr;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
SaveZoneInformation = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DisallowRun = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
0 = avp.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
1 = avz.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
2 = autoruns.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
3 = outpost.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
4 = spidernt.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
5 = SpyDerAgent.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
6 = dwengine.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
7 = spiderui.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
8 = acs.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
9 = op_mon.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
10 = klnagent.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
11 = egui.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
12 = sched.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
13 = avgnt.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
14 = avguard.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
15 = guardgui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
NoFolderoptions = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
FirewallOverride = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
DisableNotifications = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
DoNotAllowExceptions = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
enableFirewall = 0
このマルウェアが追加したレジストリ値の削除 :
「レジストリエディタ」を起動します。 [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、[OK]をクリックします。 ※regedit は半角英数字で入力する必要があります(大文字/小文字は区別されません)。 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 右側のパネルで以下のレジストリ値を検索し、削除します。 Intel Audio Driver = %System%\config>lsass.exe 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_CURRENT_USER>Control Panel>Desktop 右側のパネルで以下のレジストリ値を検索し、削除します。 SCRNSAVE.EXE = %System%\Default.scr 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_CURRENT_USER>Software>Microsoft>Windows NT>CurrentVersion>systemrestore 右側のパネルで以下のレジストリ値を検索し、削除します。 DisableSR = 1 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Associations 右側のパネルで以下のレジストリ値を検索し、削除します。 LowRiskFileTypes = .exe;.bat;.reg;.scr; 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Attachments 右側のパネルで以下のレジストリ値を検索し、削除します。 SaveZoneInformation = 1 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer 右側のパネルで以下のレジストリ値を検索し、削除します。 DisallowRun = 1 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer>Disallowrun 右側のパネルで以下のレジストリ値を検索し、削除します。 0 = avp.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 1 = avz.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 2 = autoruns.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 3 = outpost.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 4 = spidernt.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 5 = SpyDerAgent.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 6 = dwengine.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 7 = spiderui.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 8 = acs.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 9 = op_mon.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 10 = klnagent.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 11 = egui.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 12 = sched.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 13 = avgnt.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 14 = avguard.exe 右側のパネルで以下のレジストリ値を検索し、削除します。 15 = guardgui.exe 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>policies>explorer 右側のパネルで以下のレジストリ値を検索し、削除します。 NoFolderoptions = 1 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center 右側のパネルで以下のレジストリ値を検索し、削除します。 FirewallOverride = 1 右側のパネルで以下のレジストリ値を検索し、削除します。 FirewallDisableNotify = 1 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess>Parameters>FirewallPolicy>StardardProfile 右側のパネルで以下のレジストリ値を検索し、削除します。 DisableNotifications = 1 右側のパネルで以下のレジストリ値を検索し、削除します。 DoNotAllowExceptions = 0 右側のパネルで以下のレジストリ値を検索し、削除します。 enableFirewall = 0 「レジストリエディタ」を閉じます。 手順 4
不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。
[ 詳細 ]
[ 戻る ]
174.133.168.212 www.viruslist.com174.133.168.212 www.kaspersky.ru
174.133.168.212 www.kaspersky.com
174.133.168.212 www.securelist.com
174.133.168.212 z-oleg.com
174.133.168.212 www.trendsecure.com
174.133.168.212 ftp.drweb.com
174.133.168.212 virusinfo.info
174.133.168.212 www.viruslab.ru
174.133.168.212 www.novirus.ru
174.133.168.212 online.drweb.com
174.133.168.212 www.informyx.ru
174.133.168.212 vms.drweb.com
174.133.168.212 stopvirus.ru
174.133.168.212 www.esetnod32.ru
174.133.168.212 devbuilds.kaspersky-labs.com
174.133.168.212 www.agnitum.ru
174.133.168.212 www.drweb.com
174.133.168.212 www.avirus.ru
174.133.168.212 dnl-00.geo.kaspersky.com
174.133.168.212 dnl-00.geo.kaspersky.com
174.133.168.212 dnl-01.geo.kaspersky.com
174.133.168.212 dnl-02.geo.kaspersky.com
174.133.168.212 dnl-03.geo.kaspersky.com
174.133.168.212 dnl-04.geo.kaspersky.com
174.133.168.212 dnl-05.geo.kaspersky.com
174.133.168.212 dnl-06.geo.kaspersky.com
174.133.168.212 dnl-07.geo.kaspersky.com
174.133.168.212 dnl-08.geo.kaspersky.com
174.133.168.212 dnl-09.geo.kaspersky.com
174.133.168.212 dnl-10.geo.kaspersky.com
174.133.168.212 dnl-11.geo.kaspersky.com
174.133.168.212 dnl-12.geo.kaspersky.com
174.133.168.212 dnl-13.geo.kaspersky.com
174.133.168.212 dnl-14.geo.kaspersky.com
174.133.168.212 dnl-15.geo.kaspersky.com
174.133.168.212 dnl-15.geo.kaspersky.com
174.133.168.212 dnl-16.geo.kaspersky.com
174.133.168.212 dnl-17.geo.kaspersky.com
174.133.168.212 dnl-18.geo.kaspersky.com
174.133.168.212 dnl-19.geo.kaspersky.com
174.133.168.212 dnl-20.geo.kaspersky.com
174.133.168.212 downloads1.kaspersky-labs.com
174.133.168.212 downloads2.kaspersky-labs.com
174.133.168.212 downloads3.kaspersky-labs.com
174.133.168.212 downloads4.kaspersky-labs.com
174.133.168.212 downloads5.kaspersky-labs.com
174.133.168.212 msk1.drweb.com
174.133.168.212 msk2.drweb.com
174.133.168.212 msk3.drweb.com
174.133.168.212 msk4.drweb.com
174.133.168.212 msk5.drweb.com
174.133.168.212 download.eset.com
174.133.168.212 u40.eset.com
174.133.168.212 u41.eset.com
174.133.168.212 u42.eset.com
174.133.168.212 u43.eset.com
174.133.168.212 u44.eset.com
174.133.168.212 u45.eset.com
174.133.168.212 u46.eset.com
174.133.168.212 u47.eset.com
174.133.168.212 u48.eset.com
174.133.168.212 u49.eset.com
174.133.168.212 u50.eset.com
174.133.168.212 u51.eset.com
174.133.168.212 u52.eset.com
174.133.168.212 u53.eset.com
174.133.168.212 u54.eset.com
174.133.168.212 u55.eset.com
174.133.168.212 u56.eset.com
174.133.168.212 u57.eset.com
174.133.168.212 u58.eset.com
174.133.168.212 u59.eset.com
174.133.168.212 um10.eset.com
174.133.168.212 um11.eset.com
174.133.168.212 um12.eset.com
174.133.168.212 um13.eset.com
174.133.168.212 um14.eset.com
174.133.168.212 um15.eset.com
174.133.168.212 um16.eset.com
174.133.168.212 um17.eset.com
174.133.168.212 um18.eset.com
174.133.168.212 um19.eset.com
HOSTSファイルの修正 :
メモ帳などのテキストエディタを用いて、以下のファイルを開きます。 %System%\drivers\etc\HOSTS (註: %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。) 下記記述を含む行を削除してください。 174.133.168.212 www.viruslist.com174.133.168.212 www.kaspersky.ru
174.133.168.212 www.kaspersky.com
174.133.168.212 www.securelist.com
174.133.168.212 z-oleg.com
174.133.168.212 www.trendsecure.com
174.133.168.212 ftp.drweb.com
174.133.168.212 virusinfo.info
174.133.168.212 www.viruslab.ru
174.133.168.212 www.novirus.ru
174.133.168.212 online.drweb.com
174.133.168.212 www.informyx.ru
174.133.168.212 vms.drweb.com
174.133.168.212 stopvirus.ru
174.133.168.212 www.esetnod32.ru
174.133.168.212 devbuilds.kaspersky-labs.com
174.133.168.212 www.agnitum.ru
174.133.168.212 www.drweb.com
174.133.168.212 www.avirus.ru
174.133.168.212 dnl-00.geo.kaspersky.com
174.133.168.212 dnl-00.geo.kaspersky.com
174.133.168.212 dnl-01.geo.kaspersky.com
174.133.168.212 dnl-02.geo.kaspersky.com
174.133.168.212 dnl-03.geo.kaspersky.com
174.133.168.212 dnl-04.geo.kaspersky.com
174.133.168.212 dnl-05.geo.kaspersky.com
174.133.168.212 dnl-06.geo.kaspersky.com
174.133.168.212 dnl-07.geo.kaspersky.com
174.133.168.212 dnl-08.geo.kaspersky.com
174.133.168.212 dnl-09.geo.kaspersky.com
174.133.168.212 dnl-10.geo.kaspersky.com
174.133.168.212 dnl-11.geo.kaspersky.com
174.133.168.212 dnl-12.geo.kaspersky.com
174.133.168.212 dnl-13.geo.kaspersky.com
174.133.168.212 dnl-14.geo.kaspersky.com
174.133.168.212 dnl-15.geo.kaspersky.com
174.133.168.212 dnl-15.geo.kaspersky.com
174.133.168.212 dnl-16.geo.kaspersky.com
174.133.168.212 dnl-17.geo.kaspersky.com
174.133.168.212 dnl-18.geo.kaspersky.com
174.133.168.212 dnl-19.geo.kaspersky.com
174.133.168.212 dnl-20.geo.kaspersky.com
174.133.168.212 downloads1.kaspersky-labs.com
174.133.168.212 downloads2.kaspersky-labs.com
174.133.168.212 downloads3.kaspersky-labs.com
174.133.168.212 downloads4.kaspersky-labs.com
174.133.168.212 downloads5.kaspersky-labs.com
174.133.168.212 msk1.drweb.com
174.133.168.212 msk2.drweb.com
174.133.168.212 msk3.drweb.com
174.133.168.212 msk4.drweb.com
174.133.168.212 msk5.drweb.com
174.133.168.212 download.eset.com
174.133.168.212 u40.eset.com
174.133.168.212 u41.eset.com
174.133.168.212 u42.eset.com
174.133.168.212 u43.eset.com
174.133.168.212 u44.eset.com
174.133.168.212 u45.eset.com
174.133.168.212 u46.eset.com
174.133.168.212 u47.eset.com
174.133.168.212 u48.eset.com
174.133.168.212 u49.eset.com
174.133.168.212 u50.eset.com
174.133.168.212 u51.eset.com
174.133.168.212 u52.eset.com
174.133.168.212 u53.eset.com
174.133.168.212 u54.eset.com
174.133.168.212 u55.eset.com
174.133.168.212 u56.eset.com
174.133.168.212 u57.eset.com
174.133.168.212 u58.eset.com
174.133.168.212 u59.eset.com
174.133.168.212 um10.eset.com
174.133.168.212 um11.eset.com
174.133.168.212 um12.eset.com
174.133.168.212 um13.eset.com
174.133.168.212 um14.eset.com
174.133.168.212 um15.eset.com
174.133.168.212 um16.eset.com
174.133.168.212 um17.eset.com
174.133.168.212 um18.eset.com
174.133.168.212 um19.eset.com
ファイルを保存し、テキストエディタを閉じます。 手順 5
変更されたレジストリ値を修正します。
[ 詳細 ]
[ 戻る ]
警告: レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。 レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。 レジストリの編集前にこちら をご参照ください。
In HKEY_CURRENT_USER\Control Panel\Desktop ScreenSaveTimeOut = 100
{user-defined}
HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveActive = 1
{user-defined}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = 1
0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 1
0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
1
このマルウェアが変更したレジストリ値の修正 :
「レジストリエディタ」を起動します。 [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、[OK]をクリックします。 ※regedit は半角英数字で入力する必要があります(大文字/小文字は区別されません)。 レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。 右側のパネルで以下のレジストリ値を検索します。 = レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_CURRENT_USER>Control Panel>Desktop 右側のパネルで以下のレジストリ値を検索します。 ScreenSaveTimeOut = 100 [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。 ScreenSaveTimeOut = {user-defined} 再び、右側のパネルで以下のレジストリ値を検索します。 ScreenSaveActive = 1 [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。 ScreenSaveActive = {user-defined} レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>SystemRestore 右側のパネルで以下のレジストリ値を検索します。 DisableSR = 1 [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。 DisableSR = 0 レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced 右側のパネルで以下のレジストリ値を検索します。 HideFileExt = 1 [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。 HideFileExt = 0 再び、右側のパネルで以下のレジストリ値を検索します。 Hidden = 0 [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。 Hidden = 1 再び、右側のパネルで以下のレジストリ値を検索します。 ShowSuperHidden = 0 [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。 ShowSuperHidden = 1 レジストリエディタを閉じます。 手順 6
以下のファイルを検索し削除します。
[ 詳細 ]
[ 戻る ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 {malware file name}.lnk
マルウェアのコンポーネントファイルの削除 :
[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。 註:Windowsのバージョンによって異なります。 [ファイル名のすべてまたは一部]に以下を入力してください。 [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。 検索が終了したら、ファイルを選択し、SHIFT+DELETEを押します。これにより、ファイルが完全に削除されます。 残りのファイルに対して、このマルウェアのコンポーネントファイルの削除 の手順2.)から4.)を繰り返してください。 手順 7
「WORM_QHOST.TX 」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
[ 詳細 ]
[ 戻る ]
;{garbage codes}
[AutoRun]
;{garbage codes}
open={malware file name}.scr
;{garbage codes}
shell\Open\command={malware file name}.scr
;{garbage codes}
作成された AUTORUN.INF の検索および削除 :
[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。 註:Windowsのバージョンによって異なります。 [ファイル名のすべてまたは一部]に以下を入力してください。 AUTORUN.INF [探す場所]の一覧から該当ドライブを選択し、[検索]を押します。 検索が終了したら、ファイルを選択し、メモ帳などテキストエディタを用いて開いてください。 以下の文字列が存在するか確認してください。 ;{garbage codes}
[AutoRun]
;{garbage codes}
open={malware file name}.scr
;{garbage codes}
shell\Open\command={malware file name}.scr
;{garbage codes}
この文字列が存在する場合はファイルを削除してください。 他のリムーバブルドライブ内の残りの AUTORUN.INF についても、この手順3.)から6.)を繰り返してください。 [検索結果]画面を閉じてください。 手順 8
ファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
ご利用はいかがでしたか? アンケートにご協力ください