シマンテック・セキュリティ・レスポンス

http://www.symantec.com/ja/jp/security_response/index.jsp

XLGuarder

更新日:
2008 年 7 月 28 日 1:48:07 AM
種別:
Misleading Application
名前:
XLife Guarder Security Center
発行者:
xlguarder.com
リスクインパクト:
Medium
影響を受けるシステム:
Windows

危険性の評価

動作

XLGuarder は、コンピュータ上の脅威について誇張した報告を行う可能性がある、ミスリーディングアプリケーションです。

ウイルス対策日

  • Rapid Release 初回バージョン2014 年 10 月 2 日 リビジョン022
  • Rapid Release 最新バージョン2019 年 11 月 3 日 リビジョン020
  • Daily Certified 初回バージョン2008 年 7 月 23 日 リビジョン023
  • Daily Certified 最新バージョン2019 年 11 月 4 日 リビジョン060
  • Weekly Certified 初回リリース日2008 年 7 月 30 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

テクニカルノート

動作
このプログラムは、www.xlguarder.com からダウンロードする必要があり、インストールにあたっては、手動での実施が必要です。

コンピュータ上のシステムセキュリティの脅威について、誤ったまたは誇張した報告を行います。



このプログラムは次に、問題を除去したと報告を行うか、または、コンピュータ上のシステムセキュリティの脅威について誇張した報告を行う可能性があります。

このプログラムは、将来的にフルライセンスフィーの支払いを要求する可能性があります。

インストール
実行時にこのプログラムは、次のファイルを作成します。
  • %Windir%\iebho.dll
  • %Windir%\sysutils\settings.ini
  • %Windir%\sysutils\sounds\01.wav
  • %Windir%\sysutils\sounds\02.wav
  • %Windir%\sysutils\sounds\03.wav
  • %Windir%\sysutils\sysutil.exe
  • %Windir%\sysutils\sysutil_s.exe
  • %Windir%\sysutils\uninstall.exe
  • %Windir%\sysutils\warning\alertpage.jpg
  • %Windir%\sysutils\warning\spacer.gif
  • %Windir%\sysutils\warning\warningpage.html
  • %Windir%\sysutils\winsystip.exe
  • %UserProfile%\Start Menu\Programs\Protection\Uninstall XLG.lnk

続いて、Windows 起動時に自分自身を実行するため、次のレジストリエントリを作成します。
HKEY_ALL_USERS\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "%Windir%\sysutils\sysutil.exe"

また、次のレジストリサブキーを作成します。
  • HKEY_ALL_USERS\Software\sysutils
  • HKEY_CLASSES_ROOT\CLSID\{D032570A-5F63-4812-A094-87D007C23012}
  • HKEY_CLASSES_ROOT\iebho.TIEAdvBHO
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D032570A-5F63-4812-A094-87D007C23012}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sysutils

駆除方法

次の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズを含む、現在サポート対象であるすべてのシマンテックウイルス対策製品をご利用のお客様を対象に、記述されています。
  1. システムの復元機能を無効にします(Windows Me、XP)。
  2. ウイルス定義を最新版に更新します。
  3. システム全体のスキャンを実行します。
  4. レジストリに追加された値を削除します。
具体的なステップについては、以下の手順を参照します。

1. システムの復元機能を無効にするには(Windows Me、XP)
Windows Me、XP をご利用の場合は、駆除作業前にシステムの復元オプションを一時的に無効にします。システムの復元機能は、破損時のコンピュータファイルを(自動的に)復元する Windows Me、XP の機能の 1 つで、標準で有効に設定されています。ウイルス、またはワーム、またはトロイの木馬の感染時に、システムの復元機能がこれらの脅威のバックアップファイルを復旧フォルダ (_RESTORE) に作成する可能性があります。

Windows は、ウイルス対策プログラムを含む外部プログラムによる、システムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは 復旧フォルダに保存された感染ファイルの削除は不可能です。他のあらゆる場所から感染ファイルを削除した後でも、システムの復元機能が、感染ファイルを復元する結果となる可能性があります。

また、ウイルス対策プログラムが、コンピュータスキャン時に感染ファイルを検出しない場合でも、オンラインスキャン実行時には _RESTORE フォルダの脅威を検出する場合があります。

システムの復元機能を無効にする方法については、お手持ちの「Windows のマニュアル」、または下記文書を参照してください。

注意: 駆除作業が完了し、脅威の駆除を確認したうえで、上記文書に記載の手順を実行してシステムの復元機能を有効な状態に戻します。

システムの復元機能についての詳細と別の無効化方法については、「マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について」を参照してください。

2. ウイルス定義ファイルを更新するには
ウイルス定義ファイルを最新版に更新します。最新版のウイルス定義ファイルは、次の 2 通りの方法で入手できます。
  • LiveUpdate を使って入手するには

    Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上をご利用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品には、より新しいテクノロジーが搭載されています。

    Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご利用の場合は、LiveUpdate の定義は 1 週間ごとに更新されます。メジャーなウイルスが流行した場合は例外で、定義はより頻繁に更新されます。


  • Intelligent Updater を使って入手するには: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日(日本時間の火曜日~土曜日)に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお勧めします。Intelligent Updater のウイルス定義ファイルは、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらを参照してください。

3. 感染ファイルを探して削除するには
  1. シマンテックのウイルス対策ソフトウェアを起動して、すべてのファイルがスキャン対象として設定されているかどうかを確認します。

    個人のお客様向け Norton AntiVirus 製品をご利用の場合(パッケージ製品): 次の文書を参照してください。「すべてのファイルをウイルススキャンするように設定する方法

    企業、法人のお客様向け Symantec AntiVirus 製品をお使いの場合(ライセンス製品): 次の文書を参照してください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法


  2. システム全体のスキャンを実行します。
  3. 何らかのファイルを検出する場合は、ご利用のウイルス対策プログラムの表示する手順に従います。
重要: ご利用のシマンテックウイルス対策製品の起動が不可能な場合、または検出ファイルが削除できないことを報告するメッセージを表示する場合には、実行中であるこのリスクを、停止してから削除する必要があります。この場合は、コンピュータをセーフモードで再起動してスキャンを実行します。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法」を参照してください。 コンピュータをセーフモードで再起動したら、スキャンを再度実行します。
(ファイルの削除後、コンピュータを通常モードで再起動してから、次のセクションに進みます。)

この時点でワームの削除が完了していない可能性があるため、再起動時にコンピュータが警告メッセージを表示する可能性があります。これらのメッセージは無視して、[OK]をクリックします。駆除手順の終了後の再起動時には、警告メッセージを表示しません。表示する警告メッセージは、次のような内容です。

タイトル: [ファイルパス]
メッセージ本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. レジストリから値を削除するには
警告: システムレジストリを変更する際には、事前のバックアップ作成を強く推奨します。レジストリへの不適切な変更は、データの消失やファイルの破損など修復不可能な問題を引き起こす可能性があります。指定されたキーのみを修正するよう注意します。レジストリの編集作業を始める前に、必ず「レジストリのバックアップ方法」を参照してください。
  1. [Start(スタート)]、[Run(ファイル名を指定して実行)]の順にクリックします。
  2. regedit
  3. と入力し、[OK]をクリックします。

    注意: レジストリエディタが開かない場合、この脅威がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。セキュリティレスポンスは、この問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行します。

  4. 次のレジストリエントリへ移動して削除します。

    HKEY_ALL_USERS\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "%Windir%\sysutils\sysutil.exe"

  5. 次のレジストリサブキーへ移動して、削除します。

    • HKEY_ALL_USERS\Software\sysutils
    • HKEY_CLASSES_ROOT\CLSID\{D032570A-5F63-4812-A094-87D007C23012}
    • HKEY_CLASSES_ROOT\iebho.TIEAdvBHO
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D032570A-5F63-4812-A094-87D007C23012}
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sysutils

  6. レジストリエディタを終了します。