■感染後の駆除について
「WERDLOD」が他のオンライン銀行詐欺ツールと異なる最大の特徴は、「WERDLOD」自体は情報窃取の活動は行わないことです。あくまでもMitM攻撃を可能にするための設定変更を行うだけです。つまり「WERDLOD」の本体ファイルが検出され削除されたとしても「WERDLOD」が行った設定変更が残っていればネットバンキング利用者は被害を受け続けます。感染した場合は、感染状態から回復するために、不正プログラム本体を削除するだけでなく 2つの設定変更を元に戻す必要があります。
1. Windows と Firefox のプロキシ自動構成(proxy.pac)の設定を削除するか、感染前の状態に戻す
2.「WERDLOD」によってインストールされることが解っている、以下の拇印を持つ不正なルート証明書を Windows と Firefox の「信頼済みルート証明書ストア」から削除する・ A134D31B 881A6C20 02308473 325950EE 928B34CD
・日本を標的とする新たなオンライン銀行詐欺ツール「WERDLOD」の手口を解説 | トレンドマイクロ セキュリティブログ
http://blog.trendmicro.co.jp/archives/11258
