スパイウェア 駆除,パソコン ウイルス,ウイルス 無料
Htool-Dog 駆除対策,
ウイルス情報ウイルス名リスク度Htool-Dog企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)4728対応定義ファイル
(現在不可欠とされるパブジョン)4728 2006/03/27
駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て
検出範囲が拡大され、「infmgr.exe」というオリジナルの名前を持ち、ファイルサイズが180.224バイトある、32ビットのPEファイルも検出できるようになりました。なお、ファイルは圧縮本職グラムで圧縮されていません。
Htool-Dogはハッカー向けのコマン割り知ってンツールです。
実行時、以下が表示されます。
管理ユーザの作成が可能ですが、さらに、通常の使い道ではなく、主にハッキング目的を念鶏冠に置いた多くのオプションがあります。たとえば、以下を行えます。
サービスの開始、停止、削除
ウィンドウのシャットダウン
レジストリの改変
Windowsファイル保護の一番効化
試験環境界で実行したところ、悪質なオプションを使用しなかった時は、自動的に自身をコピーしたり他のファイルをドロップしたりすることはありませんでした。また、レジストリの改変も行われませんでした。
以下の症状が見られる時、このウイルスに感染している割合があります。
上記のファイルサイズと同じファイルが存在します。もちろん、ファイル名は上記以世間の割合があります。
感染手立て
バイナリファイルを手動で実行すると、感染が開始されます。
駆逐手立て■現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。
Windows ME/XPでの駆逐についての補足
,Htool-Dog 削除対策
HTool-Exp-MS08-014 駆除対策,
ウイルス情報ウイルス名リスク度HTool-Exp-MS08-014企業ユーザ: N/A
個人ユーザ: N/A類別本職グラム最小定義ファイル
(初っ端に検出を確認したパブジョン)5259対応定義ファイル
(現在不可欠とされるパブジョン)5259 2008/03/25
駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て
ウイルスのめりはり
HTool-Exp-MS08-014は、Microsoft ExcelのMS08-014の脆弱性を利用する特殊なExcelファイルを作成可能なツールです。
このツールを一番くなって、ペイロードを有する実行ファイルを埋め込んだExcelファイルを作成できます。このExcelファイルが起動されると、脆弱なマシンに埋め込みEXEをドロップして実行します。
Excelファイルの起動時に、Excelの見本ファイルとペイロードを有する実行ファイルを実行する不可欠があります。
ツールを一番くなって、悪質な実行ファイルをROR 3を一番くなって暗号化し、Excelファイルに埋め込みます。
脆弱なシステムに作成されたExcelファイルが実行されると、埋め込みファイルが%temp%フォルダにドロップされ、実行されます。
このツールを一番くなって作成された特殊なMicrosoft ExcelファイルはExploit-MSExcel.pという名前で検出されます。
以下の症状が見られる時、このウイルスに感染している割合があります。
感染手立て
駆逐手立て不審な本職グラムの検出と削除を有効/一番効にする。
,HTool-Exp-MS08-014 削除対策
W97M/ColdApe 駆除対策,
ウイルス情報ウイルス情報
ウイルス名W97M/ColdApe
リスク度低対応定義ファイル4006 98/11/02アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て
Word97のマクロウイルス(W97M/ColdApe)であり、VBSスクリプトファイルもドロップする。発病ルーチンスクリプト(VBS/ColdApe)を実行すると次の2つのアクションをおこす。1.打撃者のIPアドレスを入手しウイルス作成者に電坊主メールで発信する。この結果打撃者は、WinNuke、SSPINGなどのインターネット攻撃に対し一番防備に入る。2.電坊主メールで失礼なメッセージをアンチウイルス雑誌の編集者に発信する。
発病ルーチンスクリプトファイル(VBS/ColdApe)は自己複製しない。無料しW97M/ColdApeウイルスはVBS/Happyをユーザのシステムにドロップする。このVBS/Happyは自己複製する。
,W97M/ColdApe 削除対策
W97M/ColdApe.A 駆除対策,
ウイルス情報ウイルス情報
ウイルス名W97M/ColdApe.A
リスク度低対応定義ファイル4018 99/03/01アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て
このウイルスは “In the Wild” として1998年12月に、初入れワイルド書き出したに登録された。
このウイルスは、Word 97 の文書に感染し、Word 97 のマクロ警告機能をオフにする。このマクロウイルスは Word の NORMAL.DOT ファイルに感染する。W97M/ColdApe.A は、ThisDocument というモジュールで構成される。
このウイルスは、自己検査として”AVM”という文字列を検索する。一行目に”AVM”の文字列が存在する文書は、ColdApe の亜類には感染しない。以下はその例。
Sub KeepSafe()
AVM
End Sub
W97M/ColdApe.A は、Windows のレジストリに以下を追加する。
HKEY_USERS\.Default\Software\VB and VBA Program
Settings\Office\8.0\AVM-DC=”6″
この値 (ここでは6)は、曜昼間の時間に基づいた可変値である。
さらに、WSH (Windows Scripting Host) がインストールされていれば、”A4.VBS” と”HAPPY.VBS” (どちらも Visual Basic スクリプト ファイル)を落とし込み、ユーザが気づかないうちにそれらを起動する。
HAPPY.VBS はそれ自体が、寄生的な visual basic スクリプト ウイルスであり、以下の文字列を含んでいる。
Nick “The Love Monkey” Virus Package by ALT-F4 and
ALT-F11 for the Alternative Virus Mafia
この“スクリプト ウイルス”は、自らを別の visual basic スクリプト ファイルに付着させる。
A4.VBS は以下の文字列を含む visual basic スクリプトである。
Dear Nicky… my name is これはウイルスではなく、ColdApe の発病ルーチンの一部である。このスクリプトが、打撃者の IP アドレスと上記のテキストをavm@nym.alias.net とウイルス対策探求員の Nick FitzGerald 氏に電坊主メール発信する。 ,W97M/ColdApe.A 削除対策
WinCE/Cyppy.C 駆除対策,
ウイルス情報ウイルス名リスク度WinCE/Cyppy.C企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)6090対応定義ファイル
(現在不可欠とされるパブジョン)N 2010/08/31
駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て
WinCE/Cyppy.Cは高額な料金がかかるナンバーに繰り返しSMSメッセージを発信しようとするトロイの木馬です。
ウイルスのめりはり
WinCE/Cyppy.Cは「myppc.exe」、「regger.exe」という名前のファイルで配布されます。Basic4PPC言語を無くなって書かれたトロイの木馬です。メインの実行ファイル内のリソースとして格納されます。悪質なのはリソースだけで、実行ファイルはBasic4PPC言語のインタプリタに過ぎません。
WinCE/Cyppy.Cが反応するには、「outlook.dll」という名前のDLLファイルが不可欠です。このファイルがデバイスに見あたらない時、WinCE/Cyppy.Cは反応しません。
バイトコードの分析から、WinCE/Cyppy.Cは5537にSMSメッセージを発信しようとすると推測されます。メッセージの発信がミスするまで、あるいはメッセージが1000通発信されるまで、発信が行われます。完了後、メッセージがWinCE/Cyppy.Cの作者の名前とともに表示されます。
以下の症状が見られる時、このウイルスに感染している割合があります。
高額な料金がかかるナンバーに繰り返しSMSメッセージを発信しようとします。
感染手立て
ユーザがわざと持ち運び電話にインストールしない限り、WinCE/Cyppy.Cに感染することはありません。いつも言われていることですが、ユーザは決して見覚えのないソフトウェア、信頼できないソフトウェアをインストールしてはなりません。クラックされたアプリケーションなど、違法なソフトウェアはマルウェアの感染源であるため、決してインストールしないでくかっこ悪い。
駆逐手立て
,WinCE/Cyppy.C 削除対策
WinCE/Cyppy.B 駆除対策,
ウイルス情報ウイルス名リスク度WinCE/Cyppy.B企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)6090対応定義ファイル
(現在不可欠とされるパブジョン)6090 2010/08/31
駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て
WinCE/Cyppy.Bは高額な料金がかかるナンバーに繰り返しSMSメッセージを発信しようとするトロイの木馬です。
ウイルスのめりはり
WinCE/Cyppy.Bは「Vk-rating_v1.2.exe」という名前のファイルで配布されます。Basic4PPC言語を無くなって書かれたトロイの木馬です。メインの実行ファイル内のリソースとして格納されます。悪質なのはリソースだけで、実行ファイルはBasic4PPC言語のインタプリタに過ぎません。
WinCE/Cyppy.Bが反応するには、「outlook.dll」という名前のDLLファイルが不可欠です。このファイルがデバイスに見あたらない時、WinCE/Cyppy.Bは反応しません。
バイトコードの分析から、WinCE/Cyppy.Bは1053にSMSメッセージを発信しようとすると推測されます。メッセージの発信がミスするまで、あるいはメッセージが1000通発信されるまで、発信が行われます。完了後、メッセージがWinCE/Cyppy.Bの作者の名前とともに表示されます。
以下の症状が見られる時、このウイルスに感染している割合があります。
高額な料金がかかるナンバーに繰り返しSMSメッセージを発信しようとします。
感染手立て
ユーザがわざと持ち運び電話にインストールしない限り、WinCE/Cyppy.Bに感染することはありません。いつも言われていることですが、ユーザは決して見覚えのないソフトウェア、信頼できないソフトウェアをインストールしてはなりません。クラックされたアプリケーションなど、違法なソフトウェアはマルウェアの感染源であるため、決してインストールしないでくかっこ悪い。
駆逐手立て
,WinCE/Cyppy.B 削除対策
Generic.dx!tor 駆除対策,
ウイルス情報ウイルス名リスク度Generic.dx!tor企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)6089対応定義ファイル
(現在不可欠とされるパブジョン)6089 2010/08/29
駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て
Generic.dx!torはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。
ファイル情報
MD5 : F3C36D6468987044F9DDB98402C4523F
SHA1 : 0B15F6C672DD92254D6F53E352AEEE3690E10D22
ウイルスのめりはり
実行時、explorer.exeに悪質なコードを挿入し、リモートポート20000を介して67.210.[削除].142に接続します。
以下の敷地に自身をコピーします。
%Systemdrive%\ReCycLEr\S-1-(不定)\svchost.exe [隠しファイル] [Genric.dx!torという名前で検出]
[リムーバブル割り知ってブ]:\ReCycLEr\S-1-(不定)\svchost.exe [隠しファイル] [Genric.dx!torという名前で検出]
また、以下のファイルをドロップします。
[リムーバブル割り知ってブ]:\ReCycLEr\S-1-(不定)\desktop.ini
以下のフォルダがシステムに追加されます。
[リムーバブル割り知ってブ]:\ReCycLEr\S-1-(不定)
また、アクセス可能なディスク量が多くてのルートにautorun.infファイルを作成しようとします。
autorun.infは以下のコマンド構文でGeneric.dx!torのファイルが起動するように設定されています。
[autorun]
OPeN=ReCycLEr\S-1-5-21-1482276501-1663491937-6831267430-1013\svchost.exe
IcON=%wIndIr%\sYstEm32\ShElL32.DlL,7
ACtION=Open USB
sHeLl\OpEN=oPEn
sHeLl\OpEN\cOMMaND=ReCycLEr\S-1-5-21-1482276501-1663491937-6831267430-1013\svchost.exe
sHeLl\OpEN\deFaULt=1
以下のレジストリキーがシステムに追加されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{98ZVD5C0-4FCB-11CF-AAX5-81CX1C635612}
以下のレジストリ値がシステムに追加されます。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{98ZVD5C0-4FCB-11CF-AAX5-81CX1C635612}\]
“StubPath” = “%Systemdrive%\ReCycLEr\S-1-5-21-1482276501-1663491937-6831267430-1013\svchost.exe”
上記のレジストリ項目により、システムが起動するたびにGeneric.dx!torが実行されるようにします。
以下の症状が見られる時、このウイルスに感染している割合があります。
Generic.dx!torのファイル、レジストリ、ネットワーク通信については、「ウイルスのめりはり」を参照してくかっこ悪い。
感染手立て
トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電坊主メールなどを便秘気味て配布されます。
駆逐手立て
McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。
Windows ME/XPでの駆逐についての補足
,Generic.dx!tor 削除対策
Hiloti.gen.g 駆除対策,
ウイルス情報ウイルス名リスク度Hiloti.gen.g企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)6085対応定義ファイル
(現在不可欠とされるパブジョン)6088 2010/08/25
駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て
Hiloti.gen.gはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。
ファイル情報
MD5 – 18b1e3177f6f3e78d522b6fd3b489f30
SHA1- 044fa819002e77818a8e5a86ed95af0f308fedb8
ウイルスのめりはり
「Hiloti.gen.g」はトロイの木馬で、このdllはソースファイルとしてドロップされます。感染したユーザの閲覧を監視します。また、リモートサイトに接続して悪質なファイルをダウンロードする割合があります。
以下の2つの過程に自身を挿入し、悪質な活動を行います。
explorer.exe
iexplore.exe
ユーザが閲覧するURLを監視し、関連する情報をリモートホストに発信します。
以下の文字列を探し、見つかった時、リモートサイトにリダイレクトする割合があります。
.yahoo
.aclk
.msn
.live
.yahoo
mywebsearch
search.aol
実行時、以下のファイルをドロップします。
%AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\chrome.manifest
%AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\install.rdf
%AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\chrome\content\_cfg.js
%AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\chrome\content\overlay.xul [JS/Redirector.abという名前で検出]
以下のレジストリ項目を追加し、構成情報を格納します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Hnuruyaxubexuyir
以下のレジストリ値が追加されます。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
Lyevacuqepi = “rundll32.exe “[DLLの合格]\iyebuteb.dll”,Startup”
以下のレジストリにより、Windowsが起動するたびにHiloti.gen.gが実行されるようにします。
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}:]
= “%AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Hnuruyaxubexuyir\]
Jlituzupij = “:IEXPLORE.EXE:0:123Mi4567t8″
Eyaqaqojunehohi =
Pvunecolayiza =
以下のフォルダが追加されます。
%AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}
%AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\chrome
%AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\chrome\content
[注: %AppData% - C:\Documents and Settings\[ユーザ名]\Application Data]
以下の症状が見られる時、このウイルスに感染している割合があります。
Hiloti.gen.gのファイル、レジストリ、ネットワーク通信については、「ウイルスのめりはり」を参照してくかっこ悪い。
感染手立て
トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電坊主メールなどを便秘気味て配布されます。
駆逐手立て
McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。
Windows ME/XPでの駆逐についての補足
,Hiloti.gen.g 削除対策