W32.Whiter.Trojan は、Windows XP(Whistler)のキー生成プログラムを装ったトロイの木馬です。

このトロイの木馬が起動すると、メモ帳(Notepad.exe)を開き、一見正当に見えるキーを表示します。しかし実際には、そのキーは正当なものではなく、ランダムに生成されたただの数値です。このキーが表示されている間にトロイの木馬は自分自身をシステムに挿入し、コンピュータが次に起動されたときにハードディスク上のすべてのファイルを削除します。

別名: Trojan.Win32.Whiter.a, W95/Phistler.A

種別: トロイの木馬

感染サイズ: 57,344 バイト

対応日(Intelligent Updater)* 01/09/24(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 0-49 報告件数: 0-2 地域感染度: 低 対処レベル: 高 駆除: 容易

危険性評価グラフ 被害状況: 低 ダメージ: 高 感染力: 低

ダメージ

• 発症のタイミング: システムの再起動時
  
• 発病症状: システム上の全ファイルを0バイトに書き換え、削除する。
  

活性化

W32.Whiter.Trojan の動作内容は、ハッカーがそれをどのように設定していたかにより異なります。

• W32.Whiter.Trojanは、-nextというコマンドラインスイッチで起動されたときに発病処理を実行します。
• 特殊なコマンドラインスイッチなしで起動した場合は、メモ帳 (Notepad.exe)を起動して無効なキーを表示します。メモ帳を起動できない場合は発病症状をただちに実行します

侵入
W32.Whiter.Trojan はまず、%System% フォルダにWhismng.exe.として自分自身をコピーします。

注意： %System% は変数です。トロイの木馬は、\Systemフォルダ（通常はC:\Windows\System）を探し、そこに自分自身を挿入します。

次に、レジストリの下記のキーに、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

次の値を追加します。
Whistler %System%\whismng.exe -next

その結果、次にWindowsを起動したときに自動的にトロイの木馬が起動するようになります。


発病症状
W32.Whiter.Trojan が発病すると、ハードディスク上にあるファイルすべての削除を開始します。ファイルごとに、内容を0バイトのデータに書き換え、その後ファイルを削除します。これにより、特殊なツールを使わない限り、データの復元が非常に困難になります。

ファイルを１つ削除するごとに、CドライブにC”\wxpというファイルを作成し、そのファイルに次の文字列を書き込みます。

"You did a piracy, you deserve it."

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

このトロイの木馬を駆除するには、W32.Whiter.Trojanとして検出されたファイルをすべて削除し、レジストリに追加された値を削除する必要があります。

注意：発病症状がすでに実行されてしまった場合、削除されたファイルを最近のバックアップで復元し、影響を受けたプログラムをすべて再インストールするか、あるいは、データ復旧業者にご相談ください。その後、以下で説明している駆除作業を行ってください。

W32.Whiter.Trojan を除去するには：

1. LiveUpdateを実行し、ウィルス定義を最新版に更新します。
2. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   
   • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
     
   • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
     
3. システム全体のスキャンを実行します。
4. W32.Whiter.Trojanとして検出されたファイルをすべて削除します。
   

レジストリを編集するには：

注意：システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず、"レジストリのバックアップ方法" をお読みください。

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
2. regeditと入力し、[OK]をクリックします。レジストリ エディタが開きます。
3. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\
   Windows\CurrentVersion\Run
   
   
4. 画面右側で、次の値を削除します。
   
   Whistler %System%\whismng.exe -next
   
   
5. [レジストリ]-[レジストリエディタの終了]をクリックします。