Uruguay 6/7/8 対処法を教えてください。

Windows XP SP2 で Avast version 4.7 Home Edition を使っています。
ATOKRH.BIN というファイルが、Uruguay 6/7/8 というトロイの木馬に
感染したことを Avastが検知しました。
googleで調べたところ、ファイナルファンタジーのオンラインゲーム版
で、同じウィルスに感染したというカキコミがありました。
削除方法とUruguay 6/7/8 がどのような悪事をするのか調べたところ
マカフィのウイルス辞典に、

http://www.mcafee.com/japan/security/virUdos.asp …

の情報がありましたが、対処方法が掲載されていないので、困っています。
ATOKRH.BIN を削除すれば問題は解決されるのでしょうか？
アドバイス、どうぞよろしくお願いします。

No.1 回答者： yoshi-thk 回答日時： 2007/02/01 15:26

＞ATOKRH.BIN を削除

と書いてますが、ATOKRH.BINがどのような関係のものか知ってますか？
ジャストシステムのATOKのファイルと言うことです。
ですから、本当にウイルスなのか、疑問を感じているのです。

マカフィーに情報があるのですから、マカフィーのフリースキャンを紹介するのでウイルスなのか、確認してください。

マカフィーフリースキャン
http://www.mcafeesecurity.com/japan/mcafee/home/ …

他に、トレンドマイクロとカスペルスキーを紹介しますのでそれでも確認してください。

トレンドマイクロウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp

カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
http://www.kaspersky.co.jp/scanforvirus/

この回答へのお礼

アドバイスありがとうございます。
トレンドマクロとカペルスキーでは、マルウェアを検出しませんでした。
ATOKRH.BIN は、どのような役割をしているファイルなのでしょうか？

お礼日時：2007/02/01 17:44

No.2 回答者： doki2 回答日時： 2007/02/01 16:58

ATOKRH.BIN という正規のファイルに悪意のあるコードが書き込まれウィルスとして活動している状態であろうと思います。

ATOKRH.BINを削除してATOKを再インストールすることで駆除に成功するかもしれませんが、ほかのファイルにも感染が広がっている場合は、ほかのファイルがウィルスとして活動すると思います。

駆除方法は、感染したファイルから悪意のあるコードを取り除くしかありませんが、その方法を説明しても一般のユーザーにはできないことが含まれますので除去方法の説明は書かれていないのでしょう。

ということで答えはウィルス対策ソフトを使って除去してくださいということになるのではないでしょうか。

下記サイトで30日無料体験版をダウンロードしてスキャンしてみてください。

http://www.mcafee.com/japan/mcafee/home/
マカフィー - ウイルス対策と侵入防止ソリューション

この回答への補足

>>ATOKRH.BIN という正規のファイルに悪意のあるコードが
>>書き込まれウィルスとして活動している状態

doki2様のおっしゃる状態だったようです。
ATOKRH.BINを、avastでチェストに隔離したのち、No.1様が
教えていただいたサイトで、ATOKRH.BINを検査しました。
検査の結果　Uruguay 6/7/8は、検出されませんでした。

※Uruguayの新種の亜種なのかもしれませんね。

その後、再起動しましたら新しいATOKRH.BINが作成されていました。
ATOKの他のファイルにも何らかの影響があると不安ですので
C:\Documents and Settings\user_name\Application Data\Justsystem\Atok19
フォルダをリネームし、ATOKを再インストールし、
C:\Documents and Settings\user_name\Application Data\Justsystem\Atok19\ATOKRH.BIN
および、
リネームしたフォルダにある　ATOKRH.BIN　をavastで検査
しましたら、どちらからもマルウェアは検出されませんでした。

2007/02/01時点で、Uruguay 6/7/8 について、主要なセキュリティ
対策ソフトハウスの日本語マルウェア辞典には、詳しい記述はなく
「Uruguay」の挙動に関する記述しか見つけることができませんでした。

ですので、今のところ、ATOKの再インストールが一番無難かと思います。

※　トラブルとしては、解決しているのですが、得られた情報がすくない
ため、どなたか、書き換えられたファイルからマルウェアを駆除する
方法や「Uruguay」ではなく、「Uruguay 6/7/8」の情報をお持ちでしたら
教えていただけないでしょうか？

補足日時：2007/02/01 18:12

この回答へのお礼

アドバイスありがとうございました。

お礼日時：2007/02/01 18:17

No.3 ベストアンサー 回答者： ryu-fiz 回答日時： 2007/02/01 18:11

誤検出の疑いが多分にあると見ます。

avast!が検出したATOKRH.BINを、次の２つのサイトのうちいずれか、または両方で検査してもらってください。
http://virusscan.jotti.org/
http://www.virustotal.com/xhtml/index_en.html

avast!によって隔離されている場合は、avast!本体を起動後MenuからVirusChestを起動し、項目を右クリックして『抽出』を行ってください。抽出場所はデスクトップでよいでしょう。

各検査サイトの上のほうに『参照』ボタンが出ていると思いますので、それをクリックするとファイル選択画面が出ます。ファイルの選択が終わったら"Send"もしくは"Submit"でファイルがサイトに転送され、検査が行われます。

avast!以外の複数のウィルス対策ソフトのエンジンによって問題ありと検出される場合にはクロ、そうでない場合にはシロという判断でよろしいでしょう。場合によっては…avast!のエンジンもシロ、と判定するかも知れません。過去にはそういう例も確かあったように思われます。

普段普通に使っているアプリケーションのファイルやシステムファイルをいきなり有害として検出してしまうことはavast!やAntiVirなんかでは結構多い現象だと思いますので、あわてずに対処したいものです。

医療における『セカンドオピニオン』と同様と言えそうです。

この回答への補足

とてもわかりやすい説明ありがとうございます。
二つのサイトで、検査した結果、以下のようになりました。

http://virusscan.jotti.org/
Scanner …………………… Malware name
-------------------------------------------------------------
AntiVir ……………… ADSPY/AdPlus.A.3 adware
ArcaVir ……………………… X
Avast ………………………… X
AVG Antivirus ……………… X
BitDefender ………………… X
ClamAV ………………………… X
Dr.Web ………………… BACKDOOR.Trojan
F-Prot Antivirus …………… X
F-Secure Anti-Virus ……… X
Fortinet ……………………… X
Kaspersky Anti-Virus ……… X
NOD32 ………………………… X
Norman Virus Control ……… X
VirusBuster ………………… X
VBA32 ………………… Trojan-Spy.BZub.1 (paranoid heuristics)
-------------------------------------------------------------


http://www.virustotal.com/xhtml/index_en.html
Antivirus …………… Version ……………… Update ……… Result
----------------------------------------------------------------------
AntiVir ………………… 7.3.1.33 ………… 02.01.2007 no virus found
Authentium ……………… 4.93.8 ………… 02.01.2007 no virus found
Avast …………………… 4.7.936.0 ………… 02.01.2007 Uruguay 6/7/8
AVG ……………………… 386 ………………… 01.31.2007 no virus found
BitDefender …………… 7.2 ………………… 02.01.2007 no virus found
CAT-QuickHeal…………… 9.00 ……………… 01.31.2007 no virus found
ClamAV ………………… devel-20060426 …… 02.01.2007 no virus found
DrWeb …………………… 4.33 ……………… 02.01.2007 no virus found
eSafe …………………… 7.0.14.0 ………… 01.31.2007 no virus found
eTrust-InoculateIT …… 30.4.3361 ……… 01.31.2007 no virus found
eTrust-Vet ……………… 30.4.3361 ……… 01.31.2007 no virus found
Ewido …………………… 4.0 ……………… 01.31.2007 no virus found
Fortinet ………………… 2.85.0.0 ……… 02.01.2007 no virus found
F-Prot …………………… 4.2.1.29 ……… 02.01.2007 no virus found
Ikarus …………………… T3.1.0.27 ……… 02.01.2007 no virus found
Kaspersky ……………… 4.0.2.24 ………… 02.01.2007 no virus found
McAfee …………………… 4953 ……………… 01.31.2007 no virus found
Microsoft ………………… 1.2101 ………… 02.01.2007 no virus found
NOD32v2 ………………… 2025 ……………… 02.01.2007 no virus found
Norman …………………… 5.80.02 ………… 01.31.2007 no virus found
Panda …………………… 9.0.0.4 ………… 02.01.2007 no virus found
Prevx1 …………………… V2 ……………… 02.01.2007 no virus found
Sophos …………………… 4.13.0 ………… 01.31.2007 no virus found
Sunbelt ………………… 2.2.907.0 ………… 02.01.2007 no virus found
Symantec ………………… 10 ………………… 02.01.2007 no virus found
TheHacker ……………… 6.0.3.161 ………… 02.01.2007 no virus found
UNA ……………………… 1.83 ……………… 01.31.2007 no virus found
VBA32 …………………… 3.11.2 …………… 02.01.2007 no virus found
VirusBuster …………… 4.3.19:9 ………… 01.31.2007 no virus found
----------------------------------------------------------------------

avastでは、必ず検出されるのですが、他のものでは、検出されない
ことが多いとなりました。
ちょっと、微妙な結果です…
とは言うものの、No.2様の補足で説明しましたように、再インストール
しましたら、avastで検出されなくなりましたので、具体的にどのような
リスクがあるのかわかりませんが、駆除のための再インストールは、
石橋を叩いて渡るようで、安心できました。

補足日時：2007/02/01 19:01

この回答へのお礼

アドバイスありがとうございました。

お礼日時：2007/02/01 19:18

No.4 回答者： doki2 回答日時： 2007/02/01 19:08

ファイルサイズや作成/更新日時を比較できれば面白いと思います。

この回答への補足

感染していないファイル
サイズ：13368 Byte
作成日時：2007年2月1日、17:30:39
更新日時：2007年2月1日、19:20:16

マルウェアに感染したファイル
ファイル名：ATOKRH.BIN
サイズ：13368 Byte
作成日時：2007年2月1日、18:29:52
更新日時：2007年2月1日、18:29:52

作成/更新日時は、ファイルをあちこち移動したり、削除したり
していたので、あまり参考にならないかも…。
サイズについては、Byte単位で、同じ大きさになりましたね。
これでは、ほとんど参考になりませんよね？ (><)

補足日時：2007/02/01 19:24

この回答へのお礼

補足アドバイスありがとうございました。

お礼日時：2007/02/01 19:35

No.5 回答者： yoshi-thk 回答日時： 2007/02/01 19:21

No1ですけれど、ATOKRHについては、役割はわからないですが、ATOKで使われているファイルです。

「Uruguay 6/7/8」については、海外のAvastのユーザー同士の情報交換するページでは出ていました。

ですから、メーカーの正式な情報がないので、ただし、Uruguayと同等のウイルスという情報しかないです。
そのスレッドを紹介しておきますので参照してください。

avast!webfourom
Uruguay 6/7/8
http://forum.avast.com/index.php?PHPSESSID=1bb88 …

FFXI: Uruguay 6/7/8 - false positive?
http://forum.avast.com/index.php?PHPSESSID=35d39 …

No2の方への補足を見てATOK19（ATOK2006?）のようですから、修正モジュールをインストールしてください。

ジャストシステム
サポート > 日本語入力 > ATOK 2006 ( FAQ ) > アップデート
http://support.justsystem.co.jp/faq/jspupdate.as …

また、一太郎を使用している場合、セキュリティのためのアップデートモジュールは実行してますか？
昨年、セキュリティ関係での修正プログラムが一太郎Ver9からVer2006向けに出しているのです。
一太郎を使用してないでATOK単独で使用しているのであれば、関係ないですが、紹介しておきます。

この回答へのお礼

いろいろ調べていただきまして、ありがとうございます。
ATOKのみの利用ですので、パッチをあてようと思います。

日本の方も何件か見つけてはいたのですが、私の事例と違うようです。
参考にURLを記載しますね。
http://solkanar.exblog.jp/3674455/

あとは、2chの過去ログに
avast! Anti-Virus Part61
826 ：名無しさん＠お腹いっぱい。：2006/12/25(月) 01:40:24
uruguay 6/7/8とかいうのが検出された。
operaのglobal.datから、しかしそれをテキストエディタでみたら
ただのサイトのURLと数字だった。
誤検出ですか？

と言うのがGoogleでHITしました。

お礼日時：2007/02/01 19:44