トロイの木馬型のウィルスに感染してしまいました。

Question

当方ウィルスについて全く無知なのでどうかお力を貸して下さいm(_ _)m
先ほど自動でウィルス検索が終わり内容を確認したところTROJ_DROPPER.ORZというウィルスが検出されたという内容になっており、このウィルスについては隔離出来ませんでしたという表示が出ています。

もうひとつウィルスが検出されたようなのですが、これは隔離出来ているみたいです。

当方のＰＣですがwindows VISTAでセキュリティソフトはウィルスバスターです。

駆除・隔離・削除という項目があるのですが選択出来ないような状態になっており、どうしたら良いのか分かりません。

またファイル名を見てもどのファイルに感染しているのかが分かりません。
US_Custmos_Service.exe(C:\User\○○○・・・
○の部分は私の名前です。
私の名前が入っているファイルということはマイドキュメントとかに入っているファイルに感染してしまったということでしょうか？

もう既に感染しているようなのですが、私の見えないところで何か起こってしまっているのでしょうか？
毎日ＰＣは使っていますが、今のところ特に変わった点はないのですが、すごく不安です。。

大変お手数をお掛けしますがアドバイスお願い致します！

ryu-fiz · Accepted Answer

結論から言うと…一応大丈夫っぽいです。

>またファイル名を見てもどのファイルに感染しているのかが分かりません。
>US_Custmos_Service.exe(C:\User\○○○・・・

>もうひとつウィルスが検出されたようなのですが、これは隔離出来ているみたいです。

こういう記され方をされている場合、おそらく次の文書に書かれている内容に該当すると思われます。

圧縮ファイルからウイルスを発見した時のウイルスログについて
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060252

つまり、カッコ内に記されている部分が圧縮ファイルのパス、つまり存在場所付きで示されたファイル名で、"US_Customs_Service.exe"（"US_Custmos_Service.exe"は多分誤記でしょう）は圧縮ファイル内の特定ファイルということになります。

ウイルスログ上で、該当項目の前後に圧縮ファイル本体を隔離したという項目が存在している筈なので再度確認してみてください。もしも圧縮ファイルごと隔離出来ているようなら、今回の質問にある感染については心配いりません。

なお、

>私のウィルスバスターはＮＴＴのフレッツ光を契約したときに、無料でインストールして下さったものです。

それは多分、正確にはウイルスバスターではなく、NTT西日本のセキュリティ対策ツールVer.15ではないかと思うのですが。これはいわゆるOEM供給品というやつで、トレンドマイクロがNTT西日本に供給しているものをユーザーに無償で提供しているものです。

http://f-security.jp/v6/support/index.html

もしこれをご利用なら、ツールのサポートはトレンドマイクロではなく、NTT西日本が行うことになります。参考までに。

ついでに、ですが…

http://virscan.org/report/9fc0b6fa2bda7f47bbede0df71a8db5b.html

質問者さんのPCで検出されたのは、おそらくこれだと思います。もし万一検出されたものが処理出来ない状態にある場合には、Norman Malware CleanerとDr.Web CureIt!をセーフモード上で利用すれば何とかなるかも知れません。（圧縮ファイル内にあるなら、Dr.Web CureIt!は効きませんが）

http://m-filestation.seesaa.net/article/34993210.html
http://www.freedrweb.com/cureit/?lng=jp

で、念のためにF-Secureのオンラインスキャンで再チェック。
http://www.f-secure.co.jp/v-descs/disinfestation.html

で、対処出来ない感染が見つかるようならリカバリ推奨。
安全にリカバリを進めるためには、次のURLを参考にしてください。
http://iwata.way-nifty.com/home/2004/10/1017.html

昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。

１）各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれていますが、悪用されるセキュリティ上の問題点＝脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

２）標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptは特殊なもので、各種感染に利用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。

http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html

制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点＝脆弱性の影響には十分注意しなくてはいけません。その辺は１）で説明した通りです。

とにかく、Windows Updateや、先述したようなアプリケーションソフトのバージョンアップを怠りさえしなければ、Vista上ではそうそう深刻な感染に遭うものではないと考えます。リカバリする羽目になるようなら…余程の注意が必要かも知れません。

参考URL：http://f-security.jp/v6/support/d2/15/faq/e3-10.html

wamos101 · Answer

#3です。

ちょっと調べなおしたんですけど、#4さんの回答でほぼ当たってるみたいです。

Dropper系のTrojanをクラッカーがよく用いる方法で難読化したやつみたいです。


で、ここからはここの閲覧者さんはもちろん常連回答者さんも含めて参考情報ということで書かせていただきますが、

ここ最近のクラッカーは対策ソフトの検知を逃れるためにさまざまな手法を使ってきますが、難読化ツールなどの中にはいわゆるBinary Analysisを効かないようにしてるものも増えてきてます。また、Virtual Machine上やSandBoxでの動作を効かないようにしてるものも多いです。

また、Proactive系での検知を回避するようにしてるものもあります。エミュレーション検知とかです。で、さらにはHIPSさえもすり抜けるように細工されたMalwareも数的にはまだ少ないですがあるようです。

システムバックアップの重要性を再認識させられますよね。

doki2 · Answer

AAA.「TROJ_DROPPER.ORZ」

参考：TROJ_DROPPER.ORZ - 概　要
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDROPPER%2EORZ&VSect=P

ここには有用な情報がありません。
関連項目　 「WORM_DLOAD.KH」を調べます。

参考：WORM_DLOAD.KH - 対応方法
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FDLOAD%2EKH&VSect=Sn

手動での削除手順がありますので試してみてください。

参考：WORM_DLOAD.KH -  詳　細
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FDLOAD%2EKH&VSect=T

>ワームは、自身のコピーを全てのリムーバブルドライブ内に作成することにより感染活動を行います。
「AUTORUN.INF」というファイルがすべてのドライブに作成される可能性がありますので注意してください。
最近接続したすべてのリムーバブルメディア（USBドライブ等）をチェックして「AUTORUN.INF」を削除しないと再感染してしまいます。

BBB.「US_Custmos_Service.exe」

「US_Custmos_Service.exe」
「US_Customs_Service.exe」でしょうね

参考：合衆国税関からウィルスメールが！Σ(￣△￣;)：からたろーの日記：So-net blog
http://sig-u555.blog.so-net.ne.jp/2008-08-13-2

参考：Omg, I Wonder What It Is? - Achaea's Forums
http://forums.achaea.com/index.php?showtopic=34134&pid=990743&st=0&#entry990743

「小包が到着したから税関の申告書に記入してメールかファックスで返信せよ」という「US Customs Service」の名前をかたったメールが到着。
添付ファイル「US_Customs_Service.zip」のなかに「US_Customs_Service.exe」というウィルスファイルが見つかり「Spy-Agent.bw」というウィルスに感染していて駆除されたという情報です。

参考：マカフィー株式会社--セキュリティ情報--
http://www.mcafee.com/japan/security/virS2007.asp?v=Spy-Agent.bw

参考：TR/Spy.ZBot.dnv - 詳しい説明
http://www.avira.com/jp/threats/section/fulldetails/id_vir/4251/tr_spy.zbot.dnv.html

BBB.は駆除済みと思いますのでAAA.の駆除作業終了後パソコンを再起動してもう一度ウィルススキャンしてみてください。

noname#85510 · Answer

取りあえず急いで無料ソフト Spyware Doctor をインストールしてスキャンしてください。トロイの木馬もOKだそうです。

wamos101 · Answer

こんにちは。

私はクラッカーコミュティーの潜入調査や対策ソフトの多角的性能テストなどをしております。

あのですね、普通、対策ソフトはただ「ウイルスが見つかりましたー」だけじゃなくて、「何処そこに」○○というウイルスが検出されましたと表示してくる筈です。

複数検出されてる場合はきっぱりあきらめてリカバリかけてしまうほうが得策です。

-これ以下は参考まで-

Service.exe ←これが検出パスの最後なんじゃないの？

仮にそうだとしたらで書きますが、

タスクマーネージャ起動してService.exeを終了させて下さい。

気をつけてほしいのは、Windowsの正規システムプロセスでServices.exe(ユーザー名:System)というのがありますが、これと間違わないようにして下さい。絶対に。

えっと、今これを書いてる最中に気づいたんですけど、こちらに情報が乗ってますね。

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_DROPPER.ORZ&VSect=Sn

システムの復元を無効にしてからフルスキャンやれと言ってます。

なので、こちらの対処方をまず先にやって下さい。で、私の対処方は後にして下さい。

jasko · Answer

ウィルスバスターのサポートに電話してみてください。
駆除方法を教えてくれるはずです。

でも、駆除も隔離でも出来ないのに、検出だけしたってのも変だとは思うんですが……?

yasuhiga · Answer

経験あります。
お近くにPCデポがあれば、１泊すれば、治してくれます。
５０００円～

トロイの木馬型のウィルスに感染してしまいました。

結論から言うと…一応大丈夫っぽいです。

この回答への補足

#3です。

AAA.「TROJ_DROPPER.ORZ」

この回答への補足

取りあえず急いで無料ソフト Spyware Doctor をインストールしてスキャンしてください。

こんにちは。

ウィルスバスターのサポートに電話してみてください。

経験あります。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング