ウイルスの紹介

手動削除手順：

この不正プログラムのファイル名を確認します｡
最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_FAKEAV.ED」で検出したファイル名を確認し、メモ等をとってください。ここで確認したファイル名を以下の手順で使用します。
メモリ上で実行されている不正プログラムのプロセスを終了します｡
下記方法でタスクマネージャーを起動し、手順1.)で確認した名称のプロセスを終了します｡・Windows 98/ME の場合CTRL+ALT+DELETEを押します。
・Windows NT/2000/XP/Server 2003 の場合CTRL+SHIFT+ESCを押します。
タスクマネージャを終了します。
不正プログラムが追加したレジストリ値を削除します。
場所：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
値：
rhc7pgj0e3ct = “＜ランダムな Hex 値＞”

不正プログラムが追加したレジストリキーを削除します。
キー：
HKEY_LOCAL_MACHINE\SOFTWARE\rhc7pgj0e3ct

Windowsの検索機能（[スタート] → [検索] → [ファイルとフォルダすべて] を選択）などを使用して、この不正プログラムが作成した以下の不要なフォルダを検索し、検出した場合は削除してください。

＜User Profile＞※\Application Data\rhc7pgj0e3ct

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_FAKEAV.ED」と検出したファイルはすべて削除してください。
全ドライブ検索を行い何も検出されなければ、処理は完了です。

手動削除手順：

Windowsをセーフモードで再起動してください。
ワームの自動起動設定を削除します。
場所：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値：
sysftray = “＜Windowsフォルダ＞\fbtre9.exe”

Windowsの検索機能（[スタート] → [検索] → [ファイルとフォルダすべて] を選択）などを使用して、このワームが作成した以下の不要なファイルを検索し、検出した場合は削除してください。

＜システムのルート（通常C:ドライブ）＞ \234234234223dd.bat
＜Windowsフォルダ＞※\fmark2.dat

コンピュータを通常モードで再起動し,最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_KOOBFACE.F」と検出したファイルはすべて削除してください。
全ドライブ検索を行い何も検出されなければ、処理は完了です。

Name
SymbOS.Cabir.R

Type
Worm

Affected
EPOC

Risk
1: ほとんど影響なし

Discovered
2005 年 1 月 5 日

Update
2007 年 2 月 13 日 12:41:00 PM

Length
不定

Virus Info

SymbOS.Cabir.R は、Series 60 の携帯電話に自己複製を行うコンセプトを証明する目的で作成されたワームです。このワームは SymbOS.Cabir のマイナーな亜種です。
このワームの SymbOS.Cabir との相違点は以下の通りです。
このワームは fuyuan.SIS として拡散します。
このワームは感染後に次のメッセージを表示します。
fuyuan
このワームは、デバイスの種類に関係なく、感染先の電話上で最初に発見した Bluetooth 対応デバイスに対し、繰り返し自分自身を送信します。例えば、Bluetooth 対応プリンタが範囲内に存在する場合、そのプリンタも攻撃対象となります。
ワームは APPS ディレクトリにインストールされる .SIS ファイルとして拡散します。SymbOS.Cabir.R には、Bluetooth 対応デバイスを絶え間なくスキャンすることが原因で電池寿命が顕著に短くなることを除いては、発病症状はありません。
SymbOS.Cabir.R による影響を緩和する手段として、次の対策を実行することを推奨します。
特に必要な場合を除き、Bluetooth 機能をオフにしてください。
Bluetooth の使用が必要な場合には、そのデバイスの表示モードを [Hidden] に設定してください、これにより、他の Bluetooth 対応デバイスにスキャンされるのを防ぐことができます。
デバイスのペアリング機能の使用は極力控えてください。ペアリングを使用する必要がある場合には、ペアリングする全デバイスを、[Unauthorized] に設定してください。これにより、接続の試みが発生するたびに、その接続要求に対し、ユーザの承認が必要とされるようになります。
署名されていない (電子署名がない) アプリケーションや、未知のソースから送信されたアプリケーションは絶対に受け付けないでください。アプリケーションを受信する際には、事前に必ず、その発信元を確認するよう心がけてください。

Threat Assessment

被害状況

被害レベル: 低

感染台数: 0 - 49

感染報告数: 0 - 2

地域危険度: [...]

Name
SymbOS.Cabir.Q

Type
Worm

Affected
EPOC

Risk
1: ほとんど影響なし

Discovered
2005 年 1 月 5 日

Update
2007 年 2 月 13 日 12:41:00 PM

Length
不定

Virus Info

SymbOS.Cabir.Q は、Series 60 の携帯電話に自己複製を行うコンセプトを証明する目的で作成されたワームです。このワームは SymbOS.Cabir のマイナーな亜種です。
このワームの SymbOS.Cabir との相違点は以下の通りです。
このワームは Crazy!.SIS として拡散します。
このワームは感染後に次のメッセージを表示します。
Crazy!
このワームは、デバイスの種類に関係なく、感染先の電話上で最初に発見した Bluetooth 対応デバイスに対し、繰り返し自分自身を送信します。例えば、Bluetooth 対応プリンタが範囲内に存在する場合、そのプリンタも攻撃対象となります。
ワームは APPS ディレクトリにインストールされる .SIS ファイルとして拡散します。SymbOS.Cabir.Q には、Bluetooth 対応デバイスを絶え間なくスキャンすることが原因で電池寿命が顕著に短くなることを除いては、発病症状はありません。
SymbOS.Cabir.Q による影響を緩和する手段として、次の対策を実行することを推奨します。
特に必要な場合を除き、Bluetooth 機能をオフにしてください。
Bluetooth の使用が必要な場合には、そのデバイスの表示モードを [Hidden] に設定してください、これにより、他の Bluetooth 対応デバイスにスキャンされるのを防ぐことができます。
デバイスのペアリング機能の使用は極力控えてください。ペアリングを使用する必要がある場合には、ペアリングする全デバイスを、[Unauthorized] に設定してください。これにより、接続の試みが発生するたびに、その接続要求に対し、ユーザの承認が必要とされるようになります。
署名されていない (電子署名がない) アプリケーションや、未知のソースから送信されたアプリケーションは絶対に受け付けないでください。アプリケーションを受信する際には、事前に必ず、その発信元を確認するよう心がけてください。

Threat Assessment

被害状況

被害レベル: 低

感染台数: 0 - 49

感染報告数: 0 - 2

地域危険度: [...]

Name
SymbOS.Cabir.P

Type
Worm

Affected
EPOC

Risk
1: ほとんど影響なし

Discovered
2005 年 1 月 5 日

Update
2007 年 2 月 13 日 12:40:59 PM

Length
不定

Virus Info

SymbOS.Cabir.P は、Series 60 の携帯電話に自己複製を行うコンセプトを証明する目的で作成されたワームです。このワームは SymbOS.Cabir のマイナーな亜種です。
このワームの SymbOS.Cabir との相違点は以下の通りです。
このワームは 22207-.SIS として拡散します。
このワームは感染後に次のメッセージを表示します。
22207-
このワームは、デバイスの種類に関係なく、感染先の電話上で最初に発見した Bluetooth 対応デバイスに対し、繰り返し自分自身を送信します。例えば、Bluetooth 対応プリンタが範囲内に存在する場合、そのプリンタも攻撃対象となります。
ワームは APPS ディレクトリにインストールされる .SIS ファイルとして拡散します。SymbOS.Cabir.P には、Bluetooth 対応デバイスを絶え間なくスキャンすることが原因で電池寿命が顕著に短くなることを除いては、発病症状はありません。
SymbOS.Cabir.P による影響を緩和する手段として、次の対策を実行することを推奨します。
特に必要な場合を除き、Bluetooth 機能をオフにしてください。
Bluetooth の使用が必要な場合には、そのデバイスの表示モードを [Hidden] に設定してください、これにより、他の Bluetooth 対応デバイスにスキャンされるのを防ぐことができます。
デバイスのペアリング機能の使用は極力控えてください。ペアリングを使用する必要がある場合には、ペアリングする全デバイスを、[Unauthorized] に設定してください。これにより、接続の試みが発生するたびに、その接続要求に対し、ユーザの承認が必要とされるようになります。
署名されていない (電子署名がない) アプリケーションや、未知のソースから送信されたアプリケーションは絶対に受け付けないでください。アプリケーションを受信する際には、事前に必ず、その発信元を確認するよう心がけてください。

Threat Assessment

被害状況

被害レベル: 低

感染台数: 0 - 49

感染報告数: 0 - 2

地域危険度: [...]

手動削除手順：

Windowsをセーフモードで再起動してください。
ワームの変更したレジストリ値を修正します。
以下のレジストリの値を修正してください。レジストリ値の修正方法はこちらをご覧ください。
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon
値（修正前）:
Userinit = “＜Windowsフォルダ＞\userinit.exe”
値（修正後）:
Userinit = “＜Windowsシステムフォルダ＞\userinit.exe”

Windowsの検索機能（[スタート] → [検索] → [ファイルとフォルダすべて] を選択）などを使用して、このワームが作成した以下の不要なファイルを検索し、検出した場合は削除してください。

MSWINSCK.OCX
kdcoms.dll

ワームが追加した “AUTORUN.INF” を削除します。

Windowsの検索機能（[スタート] → [検索] → [ファイルとフォルダすべて] を選択）などを使用して、”AUTORUN.INF” を検索し、検出した場合はメモ帳などのテキストファイルを使用して開いてください。
以下の文字列が存在するか確認し、存在する場合はファイルを削除してください。
[AutoRun]
open=Secret.exe
;shell\open=Open(&O)
shell\open\Command=Secret.exe
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=Secret.exe

上記の”AUTORUN.INF” が存在するドライブを開き、このINFファイルを削除してください。

コンピュータを通常モードで再起動してください。最新のバージョン（エンジン、パターンファイル）を導入したウイルス対 策製品を用い、ウイルス検索を実行してください。このワームは「WORM_AUTORUN.EB 」と検出されます。検出したファイルはすべて削除してください。
全ドライブ検索を行い何も検出されなければ、処理は完了です。

手動削除手順：

メモリ上で実行されている不正プログラムのプロセスを終了します｡
下記方法でタスクマネージャーを起動し、lphc39nj0er9n.exe の名称のプロセスを終了します｡・Windows 98/ME の場合CTRL+ALT+DELETEを押します。
・Windows NT/2000/XP/Server 2003 の場合CTRL+SHIFT+ESCを押します。
タスクマネージャを終了します。
不正プログラムの自動起動設定を削除します。
以下のレジストリの値を削除してください。レジストリ値の削除方法はこちらをご覧ください。
場所：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
値：
lphc39nj0er9n = “＜Windowsシステムフォルダ＞\lphc39nj0er9n.exe”

不正プログラムの変更したレジストリ値を修正します。
以下のレジストリの値を修正してください。レジストリ値の修正方法はこちらをご覧ください。
場所：
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\System
値（修正前）：
・NoDispBackgroundPage = “1″
・NoDispScrSavPage = “1″
値（修正後）：
・NoDispBackgroundPage = “＜ユーザ設定値＞”
・NoDispScrSavPage = “＜ユーザ設定値＞”
場所：
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Desktop\Components
値（修正前）：
GeneralFlags = “0″
値（修正後）：
GeneralFlags = “1″

Windowsの検索機能（[スタート] → [検索] → [ファイルとフォルダすべて] を選択）などを使用して、この不正プログラムが作成した以下の不要なファイルを検索し、検出した場合は削除してください。

＜Windowsシステムフォルダ＞※\phc39nj0er9n.bmp

デスクトップの画面設定が変更されてしまった場合には、デスクトップ設定のリセットを行なってください：

[コントロールパネル]-[画面]を開きます。
[背景]タブをクリックします。
[参照]ボタンをクリックし、好みの画像を選択し、[OK]をクリックしてください。

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。以下のように検出したファイルはすべて削除してください。

「TROJ_FAKEALE.AG」
「TROJ_FAKEAV.DO」

全ドライブ検索を行い何も検出されなければ、処理は完了です。

手動削除手順：

メモリ上で実行されている不正プログラムのプロセスを終了します｡
下記方法でタスクマネージャーを起動し、AV2009.EXE の名称のプロセスを終了します｡・Windows 98/ME の場合CTRL+ALT+DELETEを押します。
・Windows NT/2000/XP/Server 2003 の場合CTRL+SHIFT+ESCを押します。
タスクマネージャを終了します。
不正プログラムの自動起動設定を削除します。
以下のレジストリの値を削除してください。レジストリ値の削除方法はこちらをご覧ください。
場所：
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
値：
ieupdate = “＜Windowsシステムフォルダ＞\ieupdates.exe””

不正プログラムの自動起動設定を削除します。
以下のレジストリキーを削除してください。レジストリキーの削除方法はこちらをご覧ください。
キー：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\Browser Helper Objects\
{037C7B8A-151A-49E6-BAED-CC05FCB50328}
キー：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{037C7B8A-j151A-49E6-BAED-CC05FCB50328}

不正プログラムが追加したレジストリキーを削除します。
以下のレジストリキーを削除してください。レジストリキーの削除方法はこちらをご覧ください。
キー：
HKEY_CURRENT_USER\Software\
5A31A7C032FA4A817CA453B790082700

Windowsの検索機能（[スタート] → [検索] → [ファイルとフォルダすべて] を選択）などを使用して、この不正プログラムが作成した以下の不要なファイルを検索し、検出した場合は削除してください。

＜Application Data＞ \Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk
＜デスクトップ＞フォルダ \Antivirus 2009.lnk
＜User Profile＞ \Antivirus 2009\Antiviris 2009.lnk
＜User Profile＞ \Antivirus 2009\Uninstall Antiviris 2009.lnk

（註： ＜デスクトップ＞フォルダは、Windows 98 および MEの場合、通常 “”C:\Documents and Settings\＜ユーザ名＞\デスクトップ”” です。 Windows NTの場合、””C:\WINNT\Profiles\＜ユーザ名＞\Desktop””、Windows 2000, XP, Server 2003の場合は “”C:\Documents and Settings\＜ユーザ名＞\Desktop”” です。）
（註：＜Application Data＞フォルダは、 Windows 2000、XP、Server 2003 [...]