発見日: December 17, 2009
更新日: May 09, 2014 12:57:23 AM
種別: Trojan
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2008-0726 | CVE-2013-0641 | CVE-2007-5663 | CVE-2008-0667 | CVE-2009-0658 | CVE-2008-0655 | CVE-2013-0640 | CVE-2007-5659 | CVE-2008-2992 | CVE-2009-0927 | CVE-2009-4324 | CVE-2007-5020 | CVE-2007-5666 | CVE-2008-2042 | CVE-2010-0188 | CVE-2014-5256 | CVE-2010-1297

Trojan.Pidief は、Adobe Reader および Adobe Acrobat の 1 つまたは複数の脆弱性を悪用して、侵入先のコンピュータに追加のマルウェアを投下またはダウンロードするトロイの木馬ファミリーの検出名です。


感染

通常、攻撃者は悪質なリンクをクリックするようにユーザーを誘導したり、電子メールで悪質な PDF を送信します。電子メールは、短時間に大多数のコンピュータにこのトロイの木馬を届けることができる効率的な手法です。スパムメールの内容は絶えず変化するため、電子メールで受け取った PDF 文書には常に警戒する必要があります。

このトロイの木馬は、エクスプロイトパックを含む Web サイトによってコンピュータに届く可能性もあります。これらの Web サイトには、リモートの攻撃者が特定のコンピュータに存在する脆弱性を識別できる機能が含まれています。脆弱性が識別されると、攻撃者はそれを悪用して侵入先のコンピュータでさらに悪質な操作を実行します。

悪質な PDF ファイルは、組織内の個人や選ばれた人々に対する標的型攻撃でよく使用されます。このような攻撃の目的はさまざまですが、機密情報や極秘情報などの収集および窃盗に関わる可能性があります。これらの攻撃では、この脅威は人目に付かないように活動し、可能なかぎり長期間検出されないようにして、最大限の情報を盗み取ろうと試みます。


機能
通常、悪質な PDF ファイルにはエクスプロイトが含まれています。そのファイルを開くと、エクスプロイトコードが実行され、他のファイルが投下されて実行されます。または、ファイルがダウンロードされてインストールされる可能性もあります。この脅威ファミリーは、Backdoor.TrojanInfostealer などの他の脅威を投下またはダウンロードするために利用されることが確認されています。



地理的分布

シマンテックでは、この脅威について、次の地理的分布を観測しています。







感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。





シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ


ウイルス対策 (ヒューリスティック/汎用)

ブラウザ保護
シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。


侵入防止システム (英語)


Symantec Endpoint Protection - アプリケーションとデバイス制御
シマンテックセキュリティレスポンスは、この脅威に関連するアクティビティからコンピュータを保護するために Symantec Endpoint Protection のアプリケーションとデバイス制御 (ADC) ポリシーを開発しました。アプリケーションとデバイス制御ポリシーを利用すると、コンピュータに対する脅威の感染リスクを軽減し、不用意なデータの削除を回避し、コンピュータ上で実行するプログラムを制限することができます。

このアプリケーションとデバイス制御ポリシーは、あるコンピュータから他のコンピュータに拡散する能力を低下させたり排除することができるため、この脅威のアウトブレーク発生時の対応に利用することができます。ネットワーク内でこの脅威がアウトブレークした場合、このポリシー をダウンロードしてください。

ポリシーを使用するには、この文書 (英語) を参照して、Symantec Endpoint Protection Manager に .dat ファイルをインポートしてください。クライアントコンピュータに配布する場合は、このポリシーによる通常のネットワークおよびコンピュータ使用への影響を確認するために、最初にテスト (ログのみ) モードを使用することを推奨します。一定期間ポリシーを観察し、環境への影響を確認した後、実働 モードでポリシーを配備し、アクティブ保護を有効にします。

アプリケーションとデバイス制御ポリシー、および組織内での配備方法に関する詳細については、「Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド 」(PDF) を参照してください。

注意: シマンテックセキュリティレスポンスで開発されたアプリケーションとデバイス制御ポリシーは、脅威のアウトブレークに対して使用することをお勧めします。このような状況では役立ちますが、制約的な性質上、通常業務に影響を及ぼす可能性があります。

ウイルス対策日

  • Rapid Release 初回バージョン December 17, 2009 リビジョン 001
  • Rapid Release 最新バージョン May 26, 2018 リビジョン 049
  • Daily Certified 初回バージョン December 17, 2009 リビジョン 005
  • Daily Certified 最新バージョン May 27, 2018 リビジョン 003
  • Weekly Certified 初回リリース日 December 23, 2009

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Éamonn Young and Hon Lau

発見日: December 17, 2009
更新日: May 09, 2014 12:57:23 AM
種別: Trojan
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2008-0726 | CVE-2013-0641 | CVE-2007-5663 | CVE-2008-0667 | CVE-2009-0658 | CVE-2008-0655 | CVE-2013-0640 | CVE-2007-5659 | CVE-2008-2992 | CVE-2009-0927 | CVE-2009-4324 | CVE-2007-5020 | CVE-2007-5666 | CVE-2008-2042 | CVE-2010-0188 | CVE-2014-5256 | CVE-2010-1297

1. 防御と回避
1.1 ユーザーの対処と予防策
1.2 オペレーティングシステムとソフトウェアへのパッチの適用
1.3 特定アドレスへのアクセスのブロック
1.4 Adobe Reader および Adobe Acrobat の JavaScript の無効化
1.5 Web ブラウザの PDF 文書表示の無効化
2. 感染方法
2.1 スパムメール
2.2 標的型攻撃
2.3 Web サイトとエクスプロイトパック
3. 機能
3.1 システムの変更
3.2 ネットワーク関連操作
4. 追加情報



1. 防御と回避
この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


1.1 ユーザーの対処と予防策
悪質な内容の電子メールメッセージは、知人から送信されたように見える場合もあります。差出人を知っているからといって、メッセージが安全であるとは限りません。信憑性を確認できない場合は、電子メールに添付されたファイルを開かないようにしてください。

スパムメールには、偽装されているか、無害に見える悪質なリンクが含まれる可能性があります。次のような電子メールメッセージに含まれるリンクには、特に注意が必要です。

  • 差出人が不明な場合
  • 差出人から判断して、電子メールの特徴が普段と異なる場合
  • リンク先が未知のドメインや実行可能ファイルの場合

上記のような電子メールに含まれるリンクには警戒する必要があります。通常、マウスポインタをリンクの上に乗せるなどの基本的なチェックにより、リンク先を確認することができます。たとえば、Norton セーフウェブ などのオンライン Web サイト評価サービスを利用して、そのサイトの安全性を確認することができます。


1.2 オペレーティングシステムとソフトウェアへのパッチの適用
オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策ソフトウェアおよびファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、最新のパッチや更新プログラムが利用可能になったときにコンピュータが受信できるようにしておきます。

この脅威は、特定の脆弱性を悪用して拡散することが確認されています。次の脆弱性 (英語) に対応したパッチを適用することで、コンピュータに対するリスクを軽減できます。

1.3 特定アドレスへのアクセスのブロック
ファイアウォールやルーターを利用して次のアドレスへのアクセスをブロックするか、ローカルの hosts ファイルにエントリを追加して、次のアドレスを 127.0.0.1 にリダイレクトするようにします。
  • 81.95.146.130
  • 85.17.221.2
  • adxdnet.net
  • adxdnet.net
  • aop1.homelinux.com
  • connectproxy.3322.org
  • csport.2288.org
  • epochtimes.3322.org
  • fc.webmasterpro.de
  • foruminspace.com
  • google-analytics.dynalias.org
  • hession0345.dnsrd.com
  • infonews.ath.cx
  • js001.3322.org
  • microsoft.acmetoy.com
  • microsoft.instanthq.com
  • microsoft.proxydns.com
  • newsplaza.net
  • ssa.adxdnet.net


注意: この脅威は他のロケーションにも接続するため、上記リストは網羅的なリストではありません。


1.4 Adobe Reader および Adobe Acrobat の JavaScript の無効化
Adobe 製品に関連する脆弱性の多くは、JavaScript を使用して悪質なコードを実行します。これらの製品で JavaScript を無効にすることにより、エクスプロイトの実行を阻止できる可能性があります。JavaScript は、環境設定メニューを使って無効にすることができます。
  1. [編集]、[環境設定] の順にクリックします。
  2. 左側のペインで [JavaScript] を選択します。
  3. [Acrobat JavaScript を使用] のチェックマークをはずします。





1.5 Web ブラウザの PDF 文書表示の無効化
また、この種のトロイの木馬は、PDF 文書を表示するための Web ブラウザのプラグインを使うことにより発生する脆弱性を利用します。Web ブラウザで PDF 文書を開かないようにすることで、エクスプロイトの実行を阻止できる可能性があります。

Web ブラウザで PDF 文書が自動的に開かれないようにするには、次の手順に従ってください。
  1. [編集]、[環境設定] の順にクリックします。
  2. 左側のペインで [インターネット] を選択します。
  3. [PDF をブラウザに表示] のチェックマークをはずします。






2. 感染方法
この脅威は、さまざまな方法でコンピュータに感染することが確認されています。これらの方法について、詳細に説明します。


2.1 スパムメール
スパムメールは、この脅威の拡散に使用される一次感染手段の 1 つです。送信されるスパムメールの数は膨大で、コンテンツは頻繁に変更されて更新されます。電子メールに PDF ファイルが添付されることもありますが、電子メールに PDF 文書へのリンクが含まれることもよくあります。

スパムメールのトピックは、攻撃によって異なります。最新のニュースアイテムやスキャンダルがトピックに選ばれることが多く、標的型攻撃の場合は、組織内の個人が関心を寄せるトピックが選ばれます。この脅威によって使用された電子メールの例を次に示します。


件名
  • IRS e-file refund notification
  • Important Information - U.S. Treasury Department **
  • The settings for the [電子メール名]@[ドメイン名] were changed
  • Royal Mail Delivery Invoice #[ランダムな数字]
  • INVOICE - alacrity
  • INVOICE - depredate
  • US Soldiers Killed in Action Since Obama's Inauguration


本文
  • After the last annual calculations of your fiscal activity we have determined that you are eligible to receive [金額]$ tax refund under section 501(c) (18) of the Internal Revenue Code. Please submit the Tax Refund Request Form and allow us 3-9 days to process it.

    Yours faithfully,
    [名前], Commissioner

    This notification has been sent by the Internal Revenue Service, a bureau of the Department of the Treasury.

  • We missed you, when trying to deliver.
    Please view the invoice and contact us with any questions.
    We will try to deliver again the following business day.

添付ファイル名
  • YOUR_BILL.PDF
  • INVOICE.PDF
  • Happy Halloween.pdf
  • 1.pdf
  • Elvis_Presley_is_alive!!!.pdf
  • MYSTERIOUS CLUB.pdf






過去に使われたトピック
シマンテックでは、この脅威ファミリーの拡散を目的としたスパムメールで、次のトピックが使用されたことを確認しました。ただし、スパムメールのトピックは攻撃によって異なるため、完全なリストではありません。スパムメールでは、最新のニュースイベントや現在人気のあるトピックが使われることもよくあります。
  • 税金の還付
  • 郵便物の不達
  • メーリングサービスのセキュリティアップグレード


2.2 標的型攻撃
最近では、民間や政府機関に対する標的型攻撃が、より一般的になっています。この種の攻撃は、APT (Advanced Persistent Threats) 攻撃として知られていて、通常、組織内の個人または少人数のグループに送信される電子メールによって開始されます。この電子メールは、正規のメールに見えるように設計されています。具体的には、この電子メールは受信者が信頼している人物から送信されたように見え、多くの場合、件名は受信者の仕事に関連しています。これは、会社の Web サイトやソーシャルネットワークサイトなどを利用して、公的に入手可能な会社や社員に関する情報を調査することにより実行されます。

マルウェアをインストールするには、ユーザーに悪質なリンクをクリックさせるか、悪質な添付ファイルを開かせる必要があります。より高度な攻撃では、攻撃者は新しいゼロデイ脆弱性を悪用して、成功の確率を高くします。

2009 年 7 月には、Trojan.Hydraq インシデント (または Aurora 攻撃) として知られる典型的な標的型攻撃が実行されたことを確認しました。この攻撃では、PDF ファイルを使用して「Adobe Acrobat, Reader, and Flash Player Remote Code Execution Vulnerability (BID 35759)」(英語) が悪用されました。この PDF ファイルは、トロイの木馬 Trojan.Hydraq の初期バージョンをインストールしました。

一般に、この種の攻撃が個人に対して実行されるとき、または熟練度の低い攻撃者によって行われる場合は、直ちに入手可能なすべての情報を収集して、次のステージに移行します。しかし、APT 攻撃は、検出を回避して長期間にわたって情報を収集するように設計されています。

Symantec Global Internet Security Threat Report Trends for 2009 Volume XV 」(英語) によると、PDF の脆弱性を悪用した攻撃が全体に占める割合は、2008 年ではわずか 11% でしたが、2009 年には 49% に増加しました。このように、攻撃者がこのポピュラーなソフトウェアに存在する脆弱性を悪用して、コンピューティングの世界でさらに悪質な操作を実行していることがわかります。





2.3 Web サイトとエクスプロイトパック
この脅威は、ユーザーに無意識のうちにこの脅威をコンピュータにダウンロードさせる Web サイトでホストされていることも確認されています。

また、Eleonore や Nuke などのエクスプロイトパックを利用する攻撃者も存在します。ユーザーがこれらの Web サイトを訪問すると、通常、エクスプロイトパックは複数のエクスプロイトを送ってクライアントコンピュータを調べます。エクスプロイトのいずれかが成功すると、攻撃が開始されます。通常、このステージでは、追加のマルウェアのダウンロードやインストールが秘かに行われます。



3. 機能

PDF 文書が開かれると、エクスプロイトが実行され、このトロイの木馬は悪質なペイロードの実行を開始することができます。これまでに観測されているこのトロイの木馬の最も一般的な機能は、コンピュータに他のマルウェアを投下またはダウンロードすることです。そのため、このトロイの木馬は他の攻撃の準備段階に利用される可能性もあります。この脅威に関係しているマルウェアを次に示します。


3.1 システムの変更
この脅威ファミリーによって侵害されたコンピュータ上では、次の副次的な影響が観測される可能性があります。


作成されるファイル
このトロイの木馬は、次のファイルを投下して実行する可能性があります。
  • %CurrentFolder%\ldr.exe (Downloader)
  • %CurrentFolder%\tong.exe
  • %Temp%\xpre.exe
  • %Temp%\prun.exe
  • %Temp%\wavvsnet.exe
  • %Temp%\snapsnet.exe
  • %Temp%\rasesnet.exe
  • %Temp%\searsnet.exe
  • %Temp%\incasnet.exe
  • %Temp%\winvsnet.exe
  • %Temp%\SVCHOST.EXE (Backdoor.Trojan)
  • %Temp%\TEMP.EXE (Backdoor.Trojan)
  • %System%\[8 桁のランダムな文字列].DLL (Backdoor.Trojan)
  • %SystemDrive%\a.exe
  • %SystemDrive%\a.pdf
  • %System%\chkzero.exe
  • %Temp%\filepages.sys
  • %Temp%\temp.sys
  • %Temp%\temp.txt
  • C:\Documents and Settings\All Users\Application Data\SVCH0ST.dll
  • C:\Documents and Settings\All Users\Application Data\svchost.exe
  • %Temp%\SUCHOST.EXE (Trojan Horse)
  • %Temp%\TEMP.EXE
  • %Temp%\AdobeUpdate.exe
  • %UserProfile%\Application Data\AcroRd32.exe
  • %Temp%\upt.exe (Backdoor.Trojan)
  • %Windir%\EventSystem.dll (Backdoor.Trojan)
  • %System%\qmgr.dll (Backdoor.Trojan)
  • %System%\dllcache\qmgr.dll (Backdoor.Trojan)
  • %System%\es.ini


削除されるファイルまたはフォルダ
なし


変更されるファイルまたはフォルダ
なし


作成されるレジストリサブキーまたはレジストリエントリ
このトロイの木馬は、次のレジストリエントリを作成する可能性があります。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\"RUN_XY_Zer0" = "a.exe"
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Marks Info\"Mark" = "kkk"
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Marks Info\"SystemTime" = "2009-5-21-20"

また、次のレジストリサブキーを作成する可能性があります。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RUN_XY_Zer0
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Marks Info
  • HKEY_LOCAL_MACHINE\SYSTEM\123
  • HKEY_LOCAL_MACHINE\SYSTEM\123\SSDT
  • HKEY_LOCAL_MACHINE\SYSTEM\123\SSDT\ErrorControl
  • HKEY_LOCAL_MACHINE\SYSTEM\123\SSDT\Start
  • HKEY_LOCAL_MACHINE\SYSTEM\123\SSDT\Type
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REWQREW
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSDT
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rewqrew
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DETrueTime


削除されるレジストリサブキーまたはレジストリエントリ
なし


変更されるレジストリサブキーまたはレジストリエントリ (最終値)
なし



3.2 ネットワーク関連操作
この脅威は次のネットワーク関連操作を実行する可能性があります。


ダウンロード
通常、この脅威の主要目的は、侵入先のコンピュータに追加のマルウェアを投下またはダウンロードすることです。ユーザーが悪質な PDF 文書を開くと、この脅威は次のロケーションから侵入先のコンピュータに追加のマルウェアをダウンロードする可能性があります。
  • 81.95.146.130 (Downloader)
  • 85.17.221.2/track/[中略] (Trojan.Zonebac)
  • adxdnet.net/code/srun[中略]
  • epochtimes.3322.org/update.ex[中略] (Downloader)
  • fc.webmasterpro.de/as_nosc[中略]
  • foruminspace.com/documents/dprk/ab.[中略] (Infostealer)
  • microsoft.acmetoy.com
  • microsoft.instanthq.com
  • microsoft.proxydns.com
  • newsplaza.net/nice/winver[中略] (Trojan.Dropper)
  • ssa.adxdnet.net/get[中略][ランダムな文字列]


注意: 上記リストは網羅的なリストではなく、この脅威は他のロケーションからマルウェアをダウンロードする可能性があります。


その他のネットワーク関連操作
さらに、この脅威ファミリーのメンバーは、侵入先のコンピュータの情報を直接アップロードすることが確認されています。たとえば、この脅威は次の操作を実行する可能性があります。

  • js001.3322.org に接続して侵入先のコンピュータの情報を送信する
  • google-analytics.dynalias.org/ddr/ddrh[中略] に接続して侵入先のコンピュータの情報をアップロードまたはダウンロードする
  • TCP ポート 443 で hession0345.dnsrd.com に接続するバックドアを開く
  • aop1.homelinux.com に接続するバックドアを開く
  • connectproxy.3322.org に接続するバックドアを開く
  • csport.2288.org に接続するバックドアを開く



4. 追加情報
この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Éamonn Young and Hon Lau

発見日: December 17, 2009
更新日: May 09, 2014 12:57:23 AM
種別: Trojan
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2008-0726 | CVE-2013-0641 | CVE-2007-5663 | CVE-2008-0667 | CVE-2009-0658 | CVE-2008-0655 | CVE-2013-0640 | CVE-2007-5659 | CVE-2008-2992 | CVE-2009-0927 | CVE-2009-4324 | CVE-2007-5020 | CVE-2007-5666 | CVE-2008-2042 | CVE-2010-0188 | CVE-2014-5256 | CVE-2010-1297

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



Norton (個人向け) 製品のお客様
お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

駆除ツール


感染した Windows システムファイルがある場合は、Windows のインストール CD を使ったファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


ビジネス (企業、法人向け) 製品のお客様
お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

疑わしいファイルの特定と提出
提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


駆除ツール

感染した Windows システムファイルがある場合は、「How to use the Symantec Endpoint Recovery Tool to replace an infected file 」(英語) に記載の手順によるファイルの置き換えが必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



手動による駆除
以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

1. システムの完全スキャンの実行
Symantec Full System Scan User Guide (英語)


2. レジストリの設定の復元
レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。

記述: Éamonn Young and Hon Lau