GENOウィルスに感染したサイトの回復のクライアント側の対応事例です。GENOウィルス(正確には、トロイの木馬)は、gumblarの俗名ですが、ほかにDaonolなども同種です。これらに感染すると、Windows起動ロゴが表示された後、黒い画面にマウスポイントだけの状態で、先に進まなくなるケースが多いようです。青い背景まで行く場合もあったりします。

対応方法は、確立されていて、レジストリ・キー\\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32配下のエントリーmidi9をエントリーごと削除すれば、Windowsが起動するようになります。駆除は、Windows起動後、midi9の値にある該当ファイルを削除することになります。

先日対応したお客さんの場合、midi9エントリー以外にaux2エントリーにも、トロイの木馬が記述されており、両方削除しないと、Windowsが起動しませんでした。片方だけの削除ですと、トロイの木馬が復活してしまいました。

作業前にバックアップしたキーは、以下のような情報です。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\hoge\Microsoft\Windows NT\CurrentVersion\Drivers32]

"midimapper"="midimap.dll"
"msacm.imaadpcm"="imaadp32.acm"
"msacm.msadpcm"="msadp32.acm"
"msacm.msg711"="msg711.acm"
"msacm.msgsm610"="msgsm32.acm"
"msacm.trspch"="tssoft32.acm"
"vidc.cvid"="iccvid.dll"
"vidc.I420"="msh263.drv"
"vidc.iv31"="ir32_32.dll"
"vidc.iv32"="ir32_32.dll"
"vidc.iv41"="ir41_32.ax"
"vidc.iyuv"="iyuv_32.dll"
"vidc.mrle"="msrle32.dll"
"vidc.msvc"="msvidc32.dll"
"vidc.uyvy"="msyuv.dll"
"vidc.yuy2"="msyuv.dll"
"vidc.yvu9"="tsbyuv.dll"
"vidc.yvyu"="msyuv.dll"
"wavemapper"="msacm32.drv"
"msacm.msg723"="msg723.acm"
"vidc.M263"="msh263.drv"
"vidc.M261"="msh261.drv"
"msacm.msaudio1"="msaud32.acm"
"msacm.sl_anet"="sl_anet.acm"
"msacm.iac2"="C:\\WINDOWS\\system32\\iac25_32.ax"
"vidc.iv50"="ir50_32.dll"
"msacm.l3acm"="C:\\WINDOWS\\system32\\l3codeca.acm"
"wave"="wdmaud.drv"
"midi"="wdmaud.drv"
"mixer"="wdmaud.drv"
"aux"="wdmaud.drv"
"aux2"="C:\\WINDOWS\\system32\\..\\dnd.jap"
"midi9"="C:\\WINDOWS\\system32\\..\\fnajg.tmp 0yAAAAAAAA"

レジストリキーのエクスポートをすると、追加分は、おけつに表示されるようですので、ウイルスを見つけやすいです。

aux2とmidi9エントリーが怪しいのは、慣れているかたならすぐ見分けがつくと思います。それぞれのエントリを削除後、Windowsを起動し、以下のファイルを削除しました。

C:\WINDOWS\dnd.jap

C:\WINDOWS\fnajg.tmp

Adobe Readerのバージョンが７でしたので、最新の9.2へアップデート。Flashは、10でしたが、マイナーバージョンが多少低かったので、こちらも最新にして完了です。

検体をAVGにて確認してみたところ。

dnd.jap：トロイの木馬Agent.4.AK

fnajg.tmp：トロイの木馬Small.BQM

と検出しました。どんどん亜種が出ているようですので、対応する側も最新状況をWebでウォッチしないとなりません。