Home > ウィルス、スパイウエア > USBメモリー等を媒体にして感染を広げるトロイの木馬 6hbb9d1d.com Generic PWS.ak - 駆除編

USBメモリー等を媒体にして感染を広げるトロイの木馬 6hbb9d1d.com Generic PWS.ak - 駆除編

トロイの木馬 6h99bb9d1d.com の感染が確認 されたら 手動で駆除

このトロイの木馬( 6hbb9d1d.com foikf6np.bat )は

  • McAfee VSE では Generic PWS.ak 又は Ramag
  • Symantec では  Trojan Paced NS Anti

として検出されます。
その他 のAntiVirus製品での名前は わかった時点で順次書き加えます。

今回は現時点 ( 2009/04/21 )ではAntiVirus製品では完全に感染は防げず又駆除できないので 手動で削除を行います。

LANケーブルを引き抜く、無線LAN も OFF にする

Virusの感染が確認されたら 真っ先に行うことは LANケーブルを抜きます
無線LANを利用していたら それも OFF にします。
PCからネットワークを切断する事によって他へ感染を防ぐと同時にVirusによる情報漏洩等を防止します。

AuntiVirus製品でフルスキャンを実行

PCにインストールしてあるAuntiVirus製品でフルスキャンを行います
もし、製品がインストールされていないような場合は腹をくくってこの後説明する手動駆除を実行しましょう。

まぁ、どちらにしろ今のところはAntiVirus製品で完全駆除はできませんから・・・

現在のところ一部のファイルはAntiVirus製品の定義ファイルでトロイの木馬として検出できています。又、新たに定義ファイルが更新される毎に検出される種類が少しずつ増えています。

McAfee VSE の場合

McAfee Anti-Virus V8.5 でスキャン(定義ファイル5586以降)等で
怪しいファイルが検出されて隔離される

  • 6hbbd1d.com
  • uu[1].rar など

McAfee VSE DAT5586 で検出できる物

  • uu[1].rar  が Ramagとして検出
  • foikf6np.bat が Generic PWS.ak として検出
  • 6hbb9d1d.com が Generic PWS.ak として検出

以下はまだ検出できない。

  • Ykvqe2n.com
  • o.exe 

先に紹介した DOSコマンドを使用して再度感染確認をする

  1. DOSプロンプトを開く
  2. C:\ に移動
  3. DIR /A:H  隠しファイルを表示させる。

以下のファイルを探す

  • autorun.inf
  • 6hbb9d1d.com
  • foikf6np.bat
  • Ykvqe2n.com
  • o.exe 

今回は 表示されていないトロイの木馬本体やそのPacker形式ファイルやレジストリーを削除する為に以下の手順に従って順番に作業を行ってください。


PCのシステム復元を無効にする

お使いのPCのOSがWindowsXPである場合を対象に書いています。

  1. マイコンピュータを右クリック
  2. プロパティを開きシステムタブからシステムの復元を無効にする。

Internet Explorerの一時ファイルを削除

  1. IEを起動する
  2. ツール→インターネットオプションを選択
  3. 一時ファイルを全て削除(オフラインコンテンツを含む)
  4. IEを閉じる

起動時のVirusの実行を止める

Windowsのメニュー 【ファイル名を指定して実行】から
msconfigと入力、OKを押す

 

スタートアップタブを選択

  1. □ ierdfgh   C:¥Windows¥System32¥ierdfgh.exe の項目を探す
  2. 確実にチェックをはずす(トロイの木馬本体の可能性大)

ierdfgh.exe が今回のターゲットとなるトロイの木馬本体と思われます
隠し属性ファイル属性の為この時点では見えません。


kavo,mmvo,tavo,revo等 AutoRun型に関するものが見つかればこれもチェックをはずす
その他怪しい物があったらチェックをはずす。


出来れば構成が同じクリーンコンピュータと見比べる。

今回の物で 該当するものは ierdfgh だと思うが  他にもあるかも・・・

以上で再起動時にVirus実行されるのを防ぎます。

 

BOOT.INIタブを選択

/SAFEBOOT(F)にチェック→OK→再起動
起動時 「F8」キーを入力してセーフモードを選択しても同様です。
セーフモードで再起動後 確認画面が出たらYESを押します。

 

レジストリエディターを起動してファイル表示属性を変更可にする

Windowsメニュー ファイル名を指定して実行
regedit と入力 レジストリエディタを起動

【以下のレジストリ値の修正】

HKEY_CURRENT_USER¥Software¥Microsoft¥Windows
¥CurrentVersion¥Explorer¥Advanced
                   "Hidden"                   (2になっているはずです) 
                   "ShowSuperHidden"  (0になっているはずです)

HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows
¥CurrentVersion¥Explorer¥Advanced¥Folder¥Hidden¥SHOWALL
                   "CheckedValue"      (0になっているはずです)

以上3つのレジストリの値が【1】以外であれば全て【1】に再セット

レジストリエディタを終了

これで 隠し属性のファイルが表示可能になりました。
この後具体的にファイルの削除を行います。


Windows Explorerエクスプローラーを起動

アドレスバーの中に[C:]と入力→移動
【注意】 決して右の窓のアイコンはダブルクリックしないこと。
以下のファイルがあるかを確認し見つけ次第[Shift+Delete]で削除

今回のトロイの木馬でファイルの存在を確認しているもの

  • C:autorun.inf 
  • C:6hbb9d1d.com
  • C:foikf6np.bat
  • C:ykvqe2n.com
  • C:o.exe
  • "%System%¥ierdfgh.exe"
  • "%System%¥IERDFGH.EXE-"*".pf"

【注意】
"*" はランダムな数字が入っています
"%System%~~とは、WindowsXPなら『C:¥Windows¥System32』のこと。


感染行動をするファイルが複数の組合せの事かから
上記以外のファイルが存在する事も十分考えられる。

過去のAutoRun系のVirusより念のため確認するもの

C:¥o6mhfog.com
C:¥q83iwmgf.bat
C:¥t2yev.com
C:¥uvg.com
C:¥8e9gmih.bat
C:¥Windows¥Prefetch¥O6MHFOG.BAT-"*".pf
C:¥Windows¥Prefetch¥Q83IWMGF.BAT-"*".pf
C:¥Windows¥Prefetch¥UU.EXE-"*".pf
C:¥Windows¥Prefetch¥8E9GMIH.BAT-"*".pf
"%System%\\\\kava.exe"
"%System%\kavo.exe"
"%System%\kavo0.dll"
"%System%\kavo1.dll"
"%System%\kavo2.dll"
"%System%\mmvo.exe"
"%System%\mmvo0.dll"
"%System%\mmvo1.dll"
"%System%\revo.exe"
"%System%\revo0.dll"
"%System%\revo1.dll"

【注意】
"%System%~~とは、XPなら『C:¥Windows¥System32』のこと。

上記は今回のトロイの木馬6hbb9d1d.com だけ対応する場合は特に確認する必要はありません。

再度ファウル名を指定して実行 から、regeditを起動

メニューの「編集」の「検索」を選ぶ

IERDFGH kava、kavo、mmvo、revo等 を検索して単独キーワードで引っかかったら全部削除

今回の場合レジストリに下記データが書き込まれます。(無い場合はある物だけ削除)
HKEY_CURRENT_USER¥Software¥Microsoft¥Windows
¥CurrentVersion¥Run
kxswsoft = "%System%¥ierdfgh.exe"

HKEY_CURRENT_USER¥Software¥Microsoft¥Windows
¥ShellNoRoam¥MUICache
"C:¥windows¥system32¥ierdfgh.exe"

HKEY_LOCAL_MACHINE¥Software¥Microsoft¥SharedTools
¥startupreg¥Kxswsoft
"command"
"item"         のデータ値に "ierdfgh"

 

レジストリエディターを終了します

# 感染時AntiVirusがトロイの木馬を検出した場合上記のレジストリは存在しないケースが多い

再度MSConfigを起動


SAFEBOOTのチェックを外す
通常モードでPCを再起動
ポップアップが出てきたら、次回より表示しないに チェックを入れてOK

最終確認作業


スタートメニュー→エクスプローラーを起動
ツール→フォルダオプションで隠しファイルを表示にチェック。
再度同じ事をやって、表示属性が元に戻されていないか確認する。

隠しファイルが見えるようになった所で肝心のautorun.infとその他の怪しいファウルがあるか再度確認してあればキッチリ削除する。

autorun.inf
6hbb9d1d.com
foikf6np.bat
Ykvqe2n.com
o.exe

全てのドライブ 、リムーバブルの方も感染しているのでこっちも同様に 駆除

 

以上で 今回のトロイの木馬の手動駆除作業は終了です。

【注意】
重要な事は、Shiftキーを押しながらUSB 差し込まないとautorun.infが起動してしまうので、注意。
作業前に gpedit で オートランを無効にするのが望ましい

Trackbacks:0

TrackBack URL for this entry
http://www.googrekas.com/mt/mt-tb.cgi/11
Listed below are links to weblogs that reference
USBメモリー等を媒体にして感染を広げるトロイの木馬 6hbb9d1d.com Generic PWS.ak - 駆除編 from アフィリエイトで稼ぐためのサーバ構築スキル

Home > ウィルス、スパイウエア > USBメモリー等を媒体にして感染を広げるトロイの木馬 6hbb9d1d.com Generic PWS.ak - 駆除編

Search
Feeds

Return to page top