Windows Security Renewal (Windows Active Guard)の駆除について

【スポンサーリンク】

ご無沙汰しております。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

fake av

さて今回はfake avの投稿をしたいと思います。

smart HDD系の偽ソフトと同様に猛威を振るっているものが上記のwindowsの名前を冠した偽ソフトになります。

先日、有識者の方より検体を頂きましたので少し検証を行ってみました。

windows-security-renewal.jpg

上記の画像がこのマルウェアの起動画面です。このマルウェアは名称がコロコロと変化しますのでご注意ください。

このマルウェアの検証をして驚いたことがあります。単純に起動を停止しただけではレジストリエディタ・タスクマネージャはおろか駆除ツールの起動も妨害されるということですね。左記の症状はセーフモード下でも同様です。

原因はレジストリへの不正な値の追加でした。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

この部分に大量の値が作成されています。この値により駆除ツール等が無効化されているようですね。言い換えますとこの値を最初に削除しないと駆除作業が行えないということです。それでは本題の駆除作業に入ります。

なお検証環境はwindows vistaです。

1、まずは隠しファイルを表示するの設定にします。

http://dynabook.com/assistpc/faq/pcdata/005787.htm

次にスタート→検索の開始に以下を入力してください。

%appdata%

上記のように入力して検索結果をクリックして表示された画面より以下のようなファイルを探します。

Protector-nknt

僕のPCではこのような名称でした。この名称はランダムで変化しますからファイルのプロパティを表示するなどして作成日時から特定してください。

特定が出来ましたらファイルを右クリックしてデスクトップに移動してPCを再起動します。再起動後にマルウェア本体の起動が停止しています。

2、次にインターネットより以下のツールをデスクトップに保存します。

rouguekiller

Malwarebytes Anti-Malware

tdsskiller

rougekillerから順にスキャンを行ってください。rouguekillerを使用することで後の駆除ツールが起動できるようになります。

各ツールの使い方は参照先をお読みください。なおmalwarebyteについてはインストール方法が変更しているようなのでご注意ください。後日、改訂版を投稿いたします。

以上、簡単ですが解説といたします。

余談ですがこのマルウェアはwindowsのファイル自動整列機能も無効化している様子でした。

レジストリに以下の値が追加されていますね。

>{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}

皆様におかれましてはこのようなものに感染しませんように脆弱性対策を徹底してください。

最後に検体をご提供していただきましたてぃーださんにお礼を述べさせていただきます。

ありがとうございました。