TROJ_JORIK.AKT
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
トロイの木马型
破壊活动の有无:
なし
暗号化:
なし
感染報告の有無 :
はい
? 概要
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %System Root%\Documents and Settings\All Users\Application Data\{random filename2}.exe
- %System Root%\Documents and Settings\All Users\Application Data\{random filename2}
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\Documents and Settings\All Users\Application Data\{random filename1}.exe
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
マルウェアは、以下のフォルダを作成します。
- %User Temp%\smtmp
- %User Temp%\smtmp\1
- %User Temp%\smtmp\2
- %User Temp%\smtmp\3
- %User Temp%\smtmp\4
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)
自动実行方法
マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename1} = "%System Root%\Documents and Settings\All Users\Application Data\{random filename1}.exe"
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
EnableAutoTray = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
ActiveDesktop
NoChangingWallpaper = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDesktop = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = "1"
HKEY_CURRENT_USER\Control Panel
7f6b3266-31c5-43a8-9547-e7911ad6fb33 = ""
HKEY_CURRENT_USER\Control Panel
nsreg = "{hex value}"
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSIgnatures = "no"
(註:変更前の上记レジストリ値は、「测别蝉」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"
(註:変更前の上记レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(註:変更前の上记レジストリ値は、「1」となります。)
その他
マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
マルウェアは、以下のディレクトリ内の特定のファイルを移动させます。
- オペレーティングシステム(OS)のメジャーバージョンが「5」(Windows XP、2000、2003)の場合
From: %System Root%\Documents and Settings\All Users\Start Menu\
To: %User Temp%\smtmp\1\
From: %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\
To: %User Temp%\smtmp\2\
From: %System Root%\Documents and Settings\All Users\Desktop\
To: %User Temp%\smtmp\4\
- OSのメジャーバージョンが「6」(Windows Vista、2008、7)の場合
From: %System Root%\ProgramData\Start Menu\
To: %User Temp%\smtmp\1\
From: %User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\
To: %User Temp%\smtmp\2\
From: %User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\
To: %User Temp%\smtmp\3\
From: %System Root%\ProgramData\Desktop\
To: %User Temp%\smtmp\4\
マルウェアは、侵入したコンピュータ内で确认したファイルの属性を「隠しファイル」に设定します。これにより、ユーザにファイルが削除されたかのように错覚させます。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
「罢搁翱闯冲闯翱搁滨碍.础碍罢」で検出したファイル名を确认し、そのファイルを终了します。
- 検出ファイルが、Windows のタスクマネージャまたは Process Explorer に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、をご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない场合、次の手顺にお进みください。
手順 3
このレジストリ値を削除します。
警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random filename1} = "%System Root%\Documents and Settings\All Users\Application Data\{random filename1}.exe"
- {random filename1} = "%System Root%\Documents and Settings\All Users\Application Data\{random filename1}.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
- EnableAutoTray = "0"
- EnableAutoTray = "0"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
- NoChangingWallpaper = "1"
- NoChangingWallpaper = "1"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
- LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"
- LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
- SaveZoneInformation = "1"
- SaveZoneInformation = "1"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr = "1"
- DisableTaskMgr = "1"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoDesktop = "1"
- NoDesktop = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- DisableTaskMgr = "1"
- DisableTaskMgr = "1"
- In HKEY_CURRENT_USER\Control Panel
- 7f6b3266-31c5-43a8-9547-e7911ad6fb33 = ""
- 7f6b3266-31c5-43a8-9547-e7911ad6fb33 = ""
- In HKEY_CURRENT_USER\Control Panel
- nsreg = "{hex value}"
- nsreg = "{hex value}"
手順 4
変更されたレジストリ値を修正します。
警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
- From: CheckExeSIgnatures = "no"
To: CheckExeSIgnatures = "yes"
- From: CheckExeSIgnatures = "no"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: Hidden = "0"
To: Hidden = "1"
- From: Hidden = "0"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: ShowSuperHidden = "0"
To: ShowSuperHidden = "1"
- From: ShowSuperHidden = "0"
手順 5
以下のファイルを検索し削除します。
- %System Root%\Documents and Settings\All Users\Application Data\{random filename2}.exe
- %System Root%\Documents and Settings\All Users\Application Data\{random filename2}
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_JORIK.AKT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
マルウェアによって隠しファイルの属性に変更されたファイル属性の修正手顺
手顺1,コマンドプロンプトを起动します。
- Windows 2000 および Windows XP、Windows Server 2003の場合
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「cmd」と入力し、Enter キーを押します。 - Windows Vista および Windows 7の場合
[スタート] ボタンをクリックします。[プログラムとファイルの検索]に「cmd」と入力し、Enter キーを押します。
手顺2,コンソールウィンドウに以下を入力します。
- attrib -h {drive letter}:\*.* /s /d
手順3,「exit」と入力し、Enter キーを押します。
マルウェアが変更したファイルの復元
手順1,フォルダ "<TEMPフォルダ>\smtmp" を開き、以下としてファイルをコピーします。
- オペレーティングシステム(OS)のメジャーバージョンが「5」(Windows XP、2000、2003)の場合 From: %User Temp%\smtmp\1\
To: %System Root%\Documents and Settings\All Users\Start Menu\
From: %User Temp%\smtmp\2\
To: %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\
From: %User Temp%\smtmp\4\
To: %System Root%\Documents and Settings\All Users\Desktop\
- OSのメジャーバージョンが「6」(Windows Vista、2008、7)の場合 From: %User Temp%\smtmp\1\
To: %System Root%\ProgramData\Start Menu\
From: %User Temp%\smtmp\2\
To: %User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\
From: %User Temp%\smtmp\3\
To: %User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\
From: %User Temp%\smtmp\4\
To: %System Root%\ProgramData\Desktop\
手順2,すべてのファイルを移動した後、フォルダ "<TEMPフォルダ>\smtmp" を削除します。