※ 2008年3月20日現在ダウンロードできる VundoFix 7.0は使用しないでください。
実行するとPCが起動しなくなる恐れがあります。詳細はこちらを
Trojan.Vundoはポップアップを出すアドウェアで、基本的にはWindows 2000/XP (NT は除外)で動くことを前提に作られているトロイです。
「Vundo」という通称は「Virtumonde」から来ており、対策ソフトによってはDarksma, Conhook, Chisyneといった名前で検出することがありますが、同じ仲間です。
Spybot S&Dが「Smitfraud-c.Toolbar888」として検出しながら削除に失敗する場合も大抵はこのVundoです。
これまでWinFixer 2005やその後継(類似)製品と思われるWinFixer 2006、WinAntiVirus 2006、WinAntiSpyware 2006などのポップアップが確認されています。
これらの製品は、すべてWinSoftwareなる会社の製品です。
インターネットにつないでいると(もしかしたら IE 使用中限定かも)、不定期にポップアップ広告が出ます。
WinAntiVirusPRO 2006、WinAntiSpyware 2006
広告の内容やしつこさを比較すると、WinFixer 2005に酷似しているのが特徴的です。
感染した場合にアンチウイルスソフトが起動時に警告を発する場合もありますが、残念ながらほぼ例外なく駆除できません。
HijackThisのログを取ると、感染の有無を確認することができます(ログを取得する場合は、必ずHijackThis 1.99.1 以降を使用すること)
Vundoは、日々「進化」しており、様々なパターンがあります。
Vundoの不正ファイルは、%systemroot%ディレクトリ(通常「C:\Windows」ないし「C:\WinNT」)の「System32」ディレクトリに作成されるのですが、
古いタイプの場合は、こちらのエントリの様に、
任意のサブディレクトリが作られて、ファイルが仕込まれる例も確認されています。
特徴は、O2とO20に怪しげな同じ名前のdllファイルがペアで現れることです。
Vundoには、自身の更新版をダウンロードしてアップデートするような機能はないので、ファイル名は一度感染すると基本的には固定となります。
ログには、同じdllファイル名を含んだO2エントリとO20 - Winlogon Notify エントリがペアで出ます。
などです。ファイル名はランダムで、「system32」フォルダ内に「<ランダム5文字>.dll」として仕込まれます。
このファイル名と O2 - BHO エントリの名前 ("ATLDistrib Object" や "MSEvents
Object") で判断します。
O2の名前が「CIEPl Object」となる場合があったり、O2に対以外のエントリが出るパターンです。
この場合も、system32 フォルダに持ち込まれたランダムなファイル名の dll ファイルと O20 エントリがでる点は同じです。
上記の名前つきの O2 エントリに現れる {F85E86D8-F796-4C97-AAA2-26664A98A42C} という CLSID は今のところ固定です。
また、これらのエントリとは別に
などのように、(no name) でランダムな CLSID とファイル名をもつ O2 エントリが現れます(場合によっては複数個)。
さらに、コントロールパネルの「プログラムの追加と削除」に「SmileyDistrict Optimizer」などの不正プログラムが登録されます。
2007年春頃のものには、O2とO20の対があるとは限らないようです。むしろ最近目に付くのは、対では無くなっているもので、例えば、
の様に、
のパターン、あるいは、
の様に
などのパターンです。
※ 2008年3月20日現在ダウンロードできる VundoFix 7.0は使用しないでください。
実行するとPCが起動しなくなる恐れがあります
Trojan.Vundoの手動除去は非常に困難ですが、ここではAtribune.orgで配布されている VundoFix というツールを用いた駆除方法を紹介します。
こちらがAtribune.orgの中の、VudoFixのサイトです。
ページの中程、画面キャプチャのすぐ下にある「Download VundoFix」をクリックすると、ダウンロードが開始します
ファイルはデスクトップに保存して下さい。この様なアイコンが現れます
ここで一旦PCを再起動して下さい。再起動後、他の操作を何も行わない状態で次のステップの作業を行って下さい。
ダウンロードした「VundoFix.exe」をダブルクリックして実行します (セキュリティ警告が出た場合は「OK」をクリック)。
「Scan for Vundo」をクリックすると、HDD のスキャンが開始されますので終わるまで待ちます
スキャンが終了すると、こちらのメッセージが出ます
「OK」をクリックすると、何も見つからなかった場合は以下のようなダイアログが表示されますので、そのまま終了してかまいません
もし Trojan.Vundo に感染しているファイルがあれば以下のようにリストアップされます。
駆除が必要なファイルが全てリストアップされてない場合は、ファイルを追加します。画面の空白部分を右クリックし、「Add More Files?」をクリックします
表示されたリストボックスに、駆除対象ファイルをそのパスも含めて入力(あるいは回答からコピー&ペースト)し、「Add File(s)」をクリックします
下の画像は「C:\WINDOWS\system32\kbddev.dll」の例です
複数の駆除対象ファイルがある場合には6つまで一度に入力できます。
3つより多くある場合には、一度入力欄をクリアしてから再度入力→「Add File(s)」を繰り返します。
追加ファイルの入力が終了したら、「Close Window」をクリックして、メイン画面に戻ります
駆除対象のファイルがすべてリストアップされていることを確認し、「Remove Vundo」をクリックします
確認のダイアログが出ますので「はい」をクリック
デスクトップアイコンやタスクバーが消えますが、そのまま待つと駆除完了後ダイアログがでます
ここで「OK」をクリックするとPC がシャットダウンされますので、しばらく待ってから再起動します。
これで駆除は完了です。
実行時のログは「C:\VundoFix.txt」というファイルに書き込まれています。メモ帳で内容をみて
上の例の様に、すべてのファイルが「Has been deleted!」と記載されていれば駆除成功です。念のため、ウイルススキャンソフトでもドライブをスキャンしておきましょう。
駆除に失敗したファイルがある場合は、ファイル名のところに「Could not be deleted!」と記載されています。
この場合は、一度再起動をかけてからセーフモードで上記の手順をもう一度やってみてください。
ここまでやって症状が治まらない場合は、他のマルウェアとの複合感染の可能性があります。質問掲示板に必要なログを添えて質問してください。
Trojan.Vundo の作成する Winlogon Notify レジストリキーは以下のようになっています。
このレジストリ設定によってどういう動作が出来るのかは以下のページなどを参考にしてください。
簡単にいうと、[xxyxu.dll]というモジュールが,システムの起動時に[winlogon.exe]プロセスに挿入され必ず動作するようになります。
しかもただ動作するだけではなく、上記の場合はシステムの起動やユーザーのログオフといった特定のイベントをトリガにしてそれに対応した動作を行わせることが可能になります。
このページは、fooさんが作成されたこちらのWiki文書を元に、場主がHTML化したものです。
2007.11.12 九八式さんの情報を元にVundofixの部分を改訂
2007.4.20 kkさんの回答を参考に、新種対応の部分を追加
2006.4.1 Vundo新種を追記
2006.3.5 Wikiを元にページ作成
