ウイルス情報

ウイルス名 危険度

Prova

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4217
対応定義ファイル
(現在必要とされるバージョン)
4245 (現在7659)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Trojan.prova (NAV)
情報掲載日 02/08/20
発見日(米国日付) 02/02/06
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • Prova は、イタリア語のメッセージを表示し、レジストリを改変するトロイの木馬です。また、システムが再起動されるたびに、システムをシャットダウンします。
  • このトロイの木馬が実行されると、次のことが行われます。
    • Sistray.exe および Sistrai.exe ファイルを C:\Windows\Command\ フォルダにドロップ(作成)する。 Sistrai.exe ファイルは、システムをシャットダウンするユーティリティで、'Reboot-Q trojan' として検出されます。
    • Explorer.exe ファイルを C:\Windows\System\ フォルダにドロップ(作成)する。
    • Autoexec.bat を置換する(元のファイルは Autoexec.bac という名前に改変する)。
    • C:\Windows\System\ の MSconfig.exeをsystem12.sys という名前に改変する。
  • システムが再起動されるたびにシステムをシャットダウンするように、レジストリ キーを次のように改変します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\ Run"Sistray" C:\Windows\Command\sistrai.exe
    • HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\ RunOnce"Sistray" C:\Windows\Command\sistray.exe
  • 次のキー値を 1 に設定することで Windows の REGEDIT ユーティリティを無効にし、ユーザがレジストリ キーを編集できないようにします。
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\DisableRegistryTools
  • また、"スタート" メニューから "ファイル名を指定して実行"、"お気に入り"、"最近使ったファイル"、"ログオフ" の各オプションを削除します。これは、次のレジストリにあるそれぞれのキー値を 1 に設定することで行います。
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • "スタート" メニューに "ファイル名を指定して実行" オプションがない。
  • Regedit.exe を使用できない。
  • Windows を再起動した後、自動的にシャットダウンする。
  • Autoexec.bac が存在する。
  • C:\Windows\Command\にSistrai.exe が存在する。
  • C:\Windows\CommandにSistray.exe が存在する。
  • C:\Windows\SystemにSystem12.sys が存在する。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run sistray c:\windows\command\sistrai.exe が存在する。

TOPへ戻る

感染方法

  • Prova.exeファイル(690688バイト) が実行されると感染する。

TOPへ戻る

駆除方法

手動駆除方法
  • このトロイの木馬は、システムが再起動されるたびに、システムをシャットダウンします。そのため、GUI スキャナを使って駆除することはできません。
  • 下記の手順に従うと、感染後でも Windows にログインできるようになります。現在お使いの定義ファイルが対応定義ファイルより古い場合は、この手順に従ってください。
  • 定義ファイル 4217 以降をインストールしている場合、コマンドライン スキャナを使って、検出されたファイルをすべて削除できます。すべてのファイルが削除されたら、ファイル名を次のように変更してください。
    • System12.sys → MSconfig.exe
  • ファイル名を変更したら、コンピュータを再起動します。従来のデスクトップ環境を使用できるようになります。
  • 下記の「Regedit.exeの復元方法」に進んでください。
定義ファイル 4217 より古い定義ファイルをお使いの場合
    • 上記のファイルすべて(autoexec.bacとsystem12.sysを除く)を手動で削除します
    • autoexec.bac のファイル名を autoexec.bat に変更します。
    • system12.sys のファイル名を MSconfig.exe に変更します。
  • ファイル名を変更したら、コンピュータを再起動します。従来のデスクトップ環境を使用できるようになります。

Regedit.exeの復元方法

  1. "スタート" をクリックし、"プログラム" → "アクセサリ" → "メモ帳" をクリックします。
  2. 次のテキストをコピーして、メモ帳のウィンドウ内にペーストします。

    REGEDIT4
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000

  3. "ファイル" → "上書き保存" をクリックし、デスクトップ上に RegedFix.reg という名前で保存します。
  4. メモ帳を終了します。
  5. デスクトップ上にあるRegedFix.regアイコンをダブルクリックし、変更をレジストリに読み込みます。
  6. メッセージが表示されたら、"はい"、"OK"の順にクリックします。
  7. コンピュータを再起動します。

この作業を行うことでレジストリ エディタが使用可能になり、トロイの木馬によって改変されたキーを修正できます。

C:\Windows\ run Regedit.exe から、次のキーに移動します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoLogoff と Norun の値を 0 にリセットします。

コンピュータを再起動します。

TOPへ戻る