おはようございます、皆様。
それでは今回の投稿にまいりましょう。
【スポンサーリンク】
Win (OS) Antivirus Pro 2013
本日の記事はfake avの投稿となります。
これから紹介するfake avは名称がOSのバージョンによって変化しますのでよくご覧ください。
Win 7 Antivirus Pro 2013
Win 7 Antispyware Pro 2013
Vista Antispyware Pro 2013
Vista Antivirus Pro 2013
XP Antivirus Pro 2013
XP Antispyware Pro 2013
このように使うOSによりインストールされるプログラムが変化します。どうやら感染する過程で悪性サーバーと通信する際に使用しているOSにより感染プログラムが変化しているようです。また感染しますと以下のような画像が表示され、PC内のexeプログラムの起動が阻止されますね。
なお今回のfakeavの検体と解析結果はトライデントさんよりご提供いただいております。ここに感謝の意を評させて頂きます。
それではこのfake avの概要です。
metascan
https://www.metascan-online.com/en/scanresult/file/971aab0816a04b2696bf5cf8ecaea772
解析結果
感染プログラムの実行ファイル
C:\Users\ミルクだ?い\AppData\Local\tjt.exe
感染後にexeが起動阻止されるのはレジストリ単位で関連付けの変更が行われている様子です。
HKCU\[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “%1” %*)
HKUS\ユーザ・あたたた番号[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “%1” %*)
HKCR\[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “%1” %*)
HKCR\[…].exe : (2lo)
HKLM\[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “C:\Program Files\Mozilla Firefox\firefox.exe”)
HKLM\[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “C:\Program Files\Mozilla Firefox\firefox.exe” -safe-mode)
HKLM\[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “C:\Program Files\Internet Explorer\iexplore.exe”)
他のfake avと比較しますとレジストリ改ざんも少ないかもしれないですね。それでは実際の削除手順について記載しておきます。なお削除手順はvista・7の場合です。
1、まずはPCを再起動してセーフモードとネットワークで起動します。
BIOSの起動画面後(メーカーのロゴが表示される事が多い)から Windowsロゴが表示される前のタイミングでF8キーを押す ↓ 詳細ブートオプション画面でセーフモードとネットワークを選択しEnterキーを押す
2、セーフモードで起動したらまずは隠しファイルを表示するの設定にします。
3、隠しファイルの表示設定が終わりましたらネットより以下のツールをダウンロードしてデスクトップに保存してください。
rougekiller
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
malwarebyte
https://www.japan-secure.com/entry/blog-entry-7.html
tdsskiller
www.japan-secure.com/entry/blog-entry-11.html
tcpeye
http://www.geardownload.com/internet/tcpeye-download.html
ATF-cleaner
http://majorgeeks.com/downloadget.php?id=4949&file=9&evp=72ef5a5e927b2276e6a5bc34c89d005a
4、まずは実行ファイルを削除します。
スタート→プログラムとファイルの検索に以下を入力してください。
%USERPROFILE%\AppData\
↑
検索結果よりLocalというフォルダをクリックしてください。表示された画面より以下のようなランダム英数字のファイルを探して右クリック→削除を選択します。
5、次にATF-cleanerを実行します。select allにチェックを入れて、empty selectedをクリックします。しばらく待ってdoneと表示されたら完了です。
6、次にrougekillerを実行します。rougekillerは起動しますとそのままスキャンが始まります。終わるまで待ってください。
スキャンが完了しましたら、registryという項目をクリックして検出があることを確認してください。そして赤枠のdeleteをクリックしてください。
ここで注意点が一つ。
お使いのPCで解凍ソフトのbandzipを使用されている方は、このツールを使用しますと左記を悪性プロセスとして検出し、Explorer.exeを停止させてしまうので使わないでください。
代わりにrkillをお使いください。
Rkill
http://www.bleepingcomputer.com/download/rkill/dl/10/ リンク1
http://www.bleepingcomputer.com/download/rkill/dl/11/ リンク2
rkillは実行しますとコマンドプロンプト上で自動的に動作します。
6、ここまでの作業を終えましたら、PCを通常起動してください。マルウェアの起動及びexeファイルの起動阻止が消失しているはずです。
今度はそのままmalwarebyteにてフルスキャンを行なってください。使い方は2の項目のリンク先を参照してください。
7、最後にさらにtdsskillerでルートキットのスキャンを行います。使い方は2の項目のリンク先を参照してください。
ここまでで駆除作業は終了です。最後にダウンロードしてあるtcpeyeにて悪性通信がないかどうか確認してください。
使い方は以下です。
http://answertaker.com/internet/web-utility/tcpeye.html
さて今回の記事は以上ですが、駆除に自信がない方は迷わずリカバリしてください。
最後に皆さん、
↑ お忘れなきように!!