概要
マイクロソフトでは、W32/Berbew というトロイの木馬型プログラムの存在を確認しました (A から H までの亜種が存在します)。このプログラムは、Microsoft Windows ベースのクライアント コンピュータが Download.Ject というマルウェア (悪質なプログラム) に感染した場合にダウンロードされるものです。この問題が発生するのは、Microsoft インターネット インフォメーション サービス (IIS) を実行し、JS.Scob に感染しているサーバーでホストされている Web サイトにユーザーがアクセスした場合です。ユーザーのコンピュータにダウンロードされる Web ページに、Backdoor:W32/Berbew というトロイの木馬型プログラムをダウンロードする JavaScript プログラムが含まれています。Backdoor:W32/Berbew には、Backdoor-AXJ、Webber、Padodor などの別名もあります。このトロイの木馬型プログラムは、コンピュータ上で以下のような活動を行います。
-
インターネット アクセスを監視します。金融関連または ISP の Web サイトにユーザーがアクセスすると、トロイの木馬型プログラムがログイン名、パスワードなどの機密情報を収集し、トロイの木馬型プログラムの作成者が取得できるように、その情報を Web サーバーに送信します。また、プロキシ サーバーをインストールし、ユーザーのコンピュータをスパム送信などの中継点として使用できるように構成します。
-
キャッシュ カードの暗証番号、クレジット カード番号などの機密情報を入力するように求める偽のダイアログ ボックスを表示します。この情報は、トロイの木馬型プログラムの作成者が取得できるように、Web サーバーに送信されます。
マイクロソフトは、トロイの木馬型プログラム Backdoor:W32/Berbew の亜種を駆除するためのツールをリリースしました。このツールは「Microsoft ダウンロード センター」からダウンロードできます。コンピュータでこのツールを実行すると、Backdoor:W32/Berbew.A、Backdoor:W32/Berbew.B、Backdoor:W32/Berbew.C、Backdoor:W32/Berbew.D、Backdoor:W32/Berbew.E、Backdoor:W32/Berbew.F、Backdoor:W32/Berbew.G および Backdoor:W32/Berbew.H を駆除することができます。技術的な更新
-
2004 年 7 月 20 日 : 「概要」、「解決方法」、「使用方法」を更新しました。
-
2004 年 7 月 13 日 : Download.Ject のペイロード検出と駆除ツール (Download.Ject Payload Detection and Removal Tool) Version 1.0 をリリースしました。Version 1.0 は、トロイの木馬型プログラム Backdoor:W32/Berbew の現在確認されている亜種 (A ~ H) の検出と駆除を行います。
現象
以下の現象が発生することがあります。
-
コンピュータのパフォーマンスやネットワークの速度が低下することがあります。
-
特定の金融関連または ISP の Web サイトにアクセスしたときに、キャッシュ カードの暗証番号やクレジット カード情報の入力を求めるメッセージまたはダイアログ ボックスが表示されます。
原因
この現象は、使用しているコンピュータがトロイの木馬型プログラム Backdoor:W32/Berbew に感染しているために発生します。Backdoor:W32/Berbew は、トロイの木馬型プログラム Download.Ject によってダウンロードされます。コンピュータが Backdoor:W32/Berbew の亜種に感染しているかどうかを確認する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/security/incident/download_ject.mspx
解決方法
最新のウイルス定義ファイルがインストールされているウイルス対策ソフトウェアを使用することで、使用しているコンピュータがトロイの木馬型プログラム Backdoor:W32/Berbew に感染するのを防ぐことができます。
重要 : 上記の対策に加え、インターネット ファイアウォールおよび最新のウイルス定義ファイルをインストールしたウイルス対策プログラムを使用すること、また、使用している Windows とプログラムの両方を最新の状態にしておくことも推奨します。
ウイルスの感染を防止する方法および感染から復旧する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
129972 [コンピュータ ウイルス] 解説、予防、および回復
ダウンロードおよびセットアップの情報
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。
必要条件
Download.Ject のペイロード検出と駆除ツールの必要条件は以下のとおりです。
-
Microsoft Windows 2000 SP2 以降または 32 ビット版の Microsoft Windows XP を実行していること
-
コンピュータの管理者または Administrators グループのメンバとしてログオンしていること
コンピュータで実行している Windows XP が 32 ビット版か 64 ビット版かを確認する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
827218 [HOW TO] 32 ビット バージョンまたは 64 ビット バージョンのどちらの Windows XP がコンピュータで実行されているかを判定する方法
これらの必要条件が満たされていない場合、インストールは成功せず、エラー メッセージが表示されます。エラー メッセージの詳細は、次のログ ファイルで確認してください。
%Windir%\Debug\Berbcln.log
また、この駆除ツールを実行する前に、Internet Explorer で ADODB.stream オブジェクトを無効にする Windows 更新プログラムをインストールすることを推奨します。駆除ツールにより、感染したコンピュータからこのトロイの木馬型プログラムが駆除されますが、コンピュータが脆弱な状態である場合に再感染を防止することはできません。この重要な更新プログラムをインストールすることにより、Download.Ject に感染したサーバーからマルウェアが再びダウンロードされるのを防ぐことができます。
ADODB.stream オブジェクトを無効にする Windows 更新プログラムの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
870669 Internet Explorer で ADODB.Stream オブジェクトを無効にする方法
再起動の必要性
このツールのインストール後にコンピュータを再起動する必要はありません。
使用方法
重要 : 以下の手順を実行する前に、必ず、重要なデータをすべてバックアップしてください。
Download.Ject のペイロード検出と駆除ツールのインストールを開始して使用許諾契約 (EULA) に同意すると、Berbcln.exe ファイルが一時フォルダに展開され、駆除ツールが実行されます。駆除ツールは、コンピュータが「必要条件」に記載されている条件を満たしているかどうかを調べます。必要条件を満たしている場合、駆除ツールは以下の処理を実行します。
-
以下のレジストリ サブキーに、トロイの木馬によって追加されたエントリが存在するかどうかを調べます。
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
-
HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
-
-
トロイの木馬型プログラム Backdoor:Win32/Berbew のメイン コンポーネントの痕跡がメモリ上にあるかどうかを調べます。このコンポーネントを検出した場合、このプロセスを終了します。
-
トロイの木馬型プログラムによって作成される以下のデータ ファイルを検索します。これらのファイルには、個人の機密データが含まれる場合があるため、これらのファイルを削除します。
Neh2x32.vxd
Neh2x32.dat
Glumx32.vxd
Glumx32.dat
Tt32.vxd
Tt32.dat
Gart32.vxd
Gart32.dat
Jcole32.vxd
Jcole32.dat
Kk32.dll
Kk32.dll
Dnkk.dll
Surf.dat
Kkq32.dll
Kkq32.vxd
Dnkkq.dll
Kar32.dll
Kar32.vxd
Dkk32.dll
Zurfs.dat -
トロイの木馬型プログラム Backdoor:W32/Berbew に関連するファイルをすべて削除します。これらのファイルは手順 1. および 2. で特定されます。
-
手順 1. で特定したレジストリ エントリを削除します。Berbew のレジストリ値の指すファイルがハード ディスク上にない場合、駆除ツールはその参照先のないレジストリ値を削除しません。これは、関連するファイルがハード ディスク上に存在しなければ、そのレジストリ値による問題が発生しないためです。
-
このトロイの木馬型プログラムは、活動の 1 つの手段として、Microsoft Internet Explorer の 2 つのインスタンスを非表示のウィンドウで実行します。これらのウィンドウは悪質な Web サイトへの接続を試行します。1 つのインスタンスは収集した個人情報をアップロードし、もう 1 つのインスタンスはトロイの木馬型プログラムのソフトウェア更新プログラムを検索します。駆除ツールは、コンピュータ上で Backdoor:W32/Berbew を検出した場合、その時点で実行されている Internet Explorer のインスタンスをすべて終了します。
-
検出処理と駆除処理の結果を示すメッセージが表示されます。表示されるメッセージとその意味は次のとおりです。
メッセージ
意味
No infection detected
トロイの木馬型プログラム Backdoor:Win32/Berbew はこのコンピュータで検出されませんでした。
Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.
トロイの木馬型プログラム Backdoor:Win32/Berbew が駆除されました。これ以上の対応は必要ありません。
This tool must be run by an administrator.
いったんログオフし、管理者としてログオンし直す必要があります。
Fatal error, please review log file.
詳細について %Windir%\Debug フォルダの Berbcln.log を参照してください。
Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.
ツールをもう一度実行し、ログ ファイルでエラーを確認してください。
This tool requires Windows 2000 or Windows XP.
このツールは、Windows 2000 および Windows XP 以外のバージョンの Windows ではサポートされていません。
Incorrect Windows version (Win32s)
このツールは Win32 を使用する Windows 3.1 ではサポートされていません。
メッセージを閉じると、駆除ツールが終了し、Berbcln.exe ファイルが一時フォルダから削除されます。この時点で、Windows-KB873018-ENU-V1.exe ファイルを手動で削除しても差し支えありません。
-
この駆除ツールを実行すると、%Windir%\Debug フォルダに Berbcln.log という名前のログ ファイルが作成されます。Backdoor:W32/Berbew.gen への感染が検出され、駆除されたかどうかは、このログ ファイルで確認できます。
コマンド ライン スイッチ
駆除ツールのインストーラでは、以下のコマンド ライン スイッチがサポートされています。
-
/Q - 非表示モードで実行します (ファイルの展開中にメッセージを一部表示しません)。
-
/Q:U - ユーザー非表示モードを使用します (ユーザーにいくつかのダイアログ ボックスを表示します)。
-
/Q:A - 管理者非表示モードを使用します (ユーザーに一切ダイアログ ボックスを表示しません)。
-
/T:path - Download.Ject のペイロード検出と駆除ツールのセットアップ プログラムによって使用される一時フォルダを指定します。/C スイッチと共に使用する場合は、ファイルの展開先フォルダを指定します。
-
/C - インストールせずにファイルの展開のみを行います。/T:pathを指定していない場合は、展開先フォルダの入力を求められます。
-
/C:cmd - ツールのインストールに使用する別のセットアップ .inf ファイルまたは .exe ファイルのパスと名前を指定します。
-
/R:N - インストール完了後にコンピュータを再起動しません。
-
/R:I - 再起動が必要な場合に、コンピュータの再起動を求めるメッセージを表示します (/Q:A スイッチを使用している場合は除きます)。
-
/R:A - インストール完了後にコンピュータを必ず再起動します。
-
/R:S - インストール完了後、ユーザーにメッセージを表示せずにコンピュータを再起動します。
サポートされているインストール スイッチの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
197147 自己インストール アップデート ファイルに共通のコマンド ライン スイッチ
この駆除ツールでは、次のコマンド ライン スイッチがサポートされています。
-
/S - ツールでサイレント モードを有効にします。これにより、ツールの実行後に、感染状態を示すダイアログ ボックスが表示されなくなります。
アンインストール情報
駆除ツールの実行後、Berbcln.exe ファイルは一時フォルダから自動的に削除されます。駆除ツールのインストール後、ツールのインストーラ パッケージは削除しても差し支えありません。
注 : Download.Ject のペイロード検出と駆除ツールは、インストール後、コントロール パネルの [プログラムの追加と削除] (または [アプリケーションの追加と削除]) の [現在インストールされているプログラム] ボックスの一覧には表示されません。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID
873018 (最終更新日 2004-07-14) を基に作成したものです。
