スパイウェア 駆除,パソコン ウイルス,ウイルス 無料

W97M/ColdApe 駆除対策, ウイルス情報ウイルス情報 ウイルス名W97M/ColdApeリスク度低対応定義ファイル4006　98/11/02アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て Word97のマクロウイルス(W97M/ColdApe)であり、VBSスクリプトファイルもドロップする。発病ルーチンスクリプト(VBS/ColdApe)を実行すると次の2つのアクションをおこす。1.打撃者のIPアドレスを入手しウイルス作成者に電坊主メールで発信する。この結果打撃者は、WinNuke、SSPINGなどのインターネット攻撃に対し一番防備に入る。2.電坊主メールで失礼なメッセージをアンチウイルス雑誌の編集者に発信する。 発病ルーチンスクリプトファイル(VBS/ColdApe)は自己複製しない。無料しW97M/ColdApeウイルスはVBS/Happyをユーザのシステムにドロップする。このVBS/Happyは自己複製する。 ,W97M/ColdApe 削除対策

W97M/ColdApe.A 駆除対策, ウイルス情報ウイルス情報 ウイルス名W97M/ColdApe.Aリスク度低対応定義ファイル4018　99/03/01アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て このウイルスは “In the Wild” として1998年12月に、初入れワイルド書き出したに登録された。 このウイルスは、Word 97 の文書に感染し、Word 97 のマクロ警告機能をオフにする。このマクロウイルスは Word の NORMAL.DOT ファイルに感染する。W97M/ColdApe.A は、ThisDocument というモジュールで構成される。 このウイルスは、自己検査として”AVM”という文字列を検索する。一行目に”AVM”の文字列が存在する文書は、ColdApe の亜類には感染しない。以下はその例。 Sub KeepSafe() AVM End Sub W97M/ColdApe.A は、Windows のレジストリに以下を追加する。 HKEY_USERS\.Default\Software\VB and VBA Program Settings\Office\8.0\AVM-DC=”6″ この値 (ここでは6)は、曜昼間の時間に基づいた可変値である。 さらに、WSH (Windows Scripting Host) がインストールされていれば、”A4.VBS” と”HAPPY.VBS” (どちらも Visual Basic スクリプト ファイル)を落とし込み、ユーザが気づかないうちにそれらを起動する。 HAPPY.VBS はそれ自体が、寄生的な visual basic スクリプト ウイルスであり、以下の文字列を含んでいる。 Nick [...]

W32/Wuke!htm 駆除対策, ウイルス情報ウイルス名リスク度W32/Wuke!htm企業ユーザ: 低個人ユーザ: 低類別ウイルス最小定義ファイル(初っ端に検出を確認したパブジョン)4917対応定義ファイル(現在不可欠とされるパブジョン)4917　2006/12/12 駆逐補足ウイルス駆逐のヒントアウトラインウイルスのめりはり感染症状感染手立て駆逐手立て W32/Wuke@MMは.HTM、.HTML、.ASP、ASPXファイルが開かれ、描画されると感染し、リモートWebホストから悪質なコンテンツをダウンロードします。 ウイルスのめりはり 感染したWebベースのファイルには、描画されるとリモートWebホストからコンテンツを動的にダウンロードするHTML IFRAMEタグが付加されています。 W32/Wuke@htmのIFRAMEタグには以下のURLが設定されています。 http://softd.ppandora.com/[非表示] また、以下の構文が使用されています。 iframe src=http://softd.ppandora.com/[非表示] width=0 height=0 /iframe 以下の症状が見られる時、このウイルスに感染している割合があります。 – .HTM、.HTML、.ASP、.ASPXファイルのサイズが大きくなります。 　- W32/Wuke!htmの時、ファイルのサイズが71バイト増殖します。 – 上記の拡張坊主を有するファイルに付加されたIFRAMEタグが存在します。 – 予期しないHTTPトラフィックが発生します。 　- 感染ファイルがWebブラウザなどのアプリケーションにロードされ、描画されると、ネットワーク上で予期しないHTTPトラフィックが発生します。トラフィックの行き先は「ウイルスのめりはり」に記載されているURLです。 感染手立て マシンがW32/Wuke@MMに感染すると、W32/Wuke!htmに感染します。 詳細はW32/Wuke@MMのウイルス情報を参照してくかっこ悪い。 駆逐手立て■AVERTは、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。 Windows ME/XPでの駆逐についての補足 ,W32/Wuke!htm 削除対策

W32/Wuke@MM 駆除対策, ウイルス情報ウイルス名リスク度W32/Wuke@MM企業ユーザ: 低個人ユーザ: 低類別ウイルス最小定義ファイル(初っ端に検出を確認したパブジョン)4917対応定義ファイル(現在不可欠とされるパブジョン)4917　2006/12/11 駆逐補足ウイルス駆逐のヒントアウトラインウイルスのめりはり感染症状感染手立て駆逐手立て W32/Wuke@MMは乗っ取ったマシンの.EXEファイルに感染し、悪気のあるデータをWebベースのファイルに付加し、ルートキットコンポーネントをドロップし、ネットワークを介して他のホストに拡散します。 ウイルスのめりはり W32/Wuke@MMが実行されると、以下のファイル名で%WINDIR%フォルダに自身のコピーをドロップします。 cmd.com regedit.com net.com W32/Wuke@MMは乗っ取ったマシンで見つかった.EXEファイルに感染します。感染したファイルのサイズは101,376バイト増殖します。うち、26392バイトは先鶏冠、残りは最後に付加されます。 多くの時、W32/Wuke@MMは感染ファイルを破破壊するるため、ファイルは正常に反応しなくなります。最新のウイルス定義ファイルを使用して感染ファイルを修復すると、正常に戻ります。 また、W32/Wuke@MMはHTML IFRAMEタグを付加して、.HTM、.HTML、.ASP、.ASPXファイルに感染します。Webブラウザで描画されると、これらのタグがリモートWebホストから悪質なコンテンツをダウンロードします。詳細はW32/Wuke!htmのウイルス情報を参照してくかっこ悪い。 さらに、実行中の過程を隠すためのルートキットコンポーネントをドロップします。詳細はW32/Wuke.sysのウイルス情報を参照してくかっこ悪い。 W32/Wuke@MMがregmon、filemon、softiceなどの分析ツールを検出した時、実行時に以下のようなメッセージボックスを表示します。 また、これらの分析アプリケーションを終了できます。 以下の症状が見られる時、このウイルスに感染している割合があります。 上記のファイルが存在します。 改変または破壊された.EXEファイルが存在します。 改変されたWebベースのファイルが存在します。 ディスクまたはレジストリにルートキットコンポーネントが存在します。 予期しないネットワークトラフィックが発生します。 予期しないネットワークトラフィックは以下の事情で発生します。 W32/Wuke@MM自身、ルートキットによって隠されている間、悪気のあるソースから他のコンテンツをダウンロードできます。ダウンロードされるコンテンツには、DDos-Rincux、PWS-Hook.dll、PWS-Gamania.dllがあります。これらの悪質ソフトウェアはすべて、最新のウイルス定義ファイルを使用して検出できます。 Webベースのファイルの万事休すに付加されたIFRAMEタグはリモートWebホストから悪質なコンテンツをダウンロードできます。W32/Wuke@MMでは以下のURLが使用されます。 http:// softd.ppandora.com/[非表示] 広がる他のホストを見つけ出すため、NetBIOSトラフィックがW32/Wuke@MMによって作成されます。 感染手立て W32/Wuke@MMは、ユーザが実行すると、システムに感染します。電坊主メールの添付ファイルやネットワーク共有を介して配信されます。 駆逐手立て■AVERTは、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。 Windows ME/XPでの駆逐についての補足 ,W32/Wuke@MM 削除対策

W97M/ColdApe.B 駆除対策, ウイルス情報ウイルス情報 ウイルス名W97M/ColdApe.Bリスク度低対応定義ファイル4018　99/03/01アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て このウイルスは、”In the Wild”として1999年3月に初入れワイルド書き出したに登録された。このウイルスは Word 97 の文書に感染する。Word 97 のマクロ警告機能をオフにする。 このマクロウイルスは、Word の NORMAL.DOT ファイルに感染する。W97M/ColdApe.B はThisDocument というモジュールで構成される。 このウイルスは、以下の点を除けば W97M/ColdApe.A に類似している。 ColdApe の亜類 .B には、感染の世代数を表すカウンタと’victim log”が含まれている。 ColdApe の亜類 .B は、改変された A4.VBS ファイル(A4.VBS の説明は下記を参照のこと)を含む。 ファイルの変更点は次の2点。 アドレス 書き出したが avm@nym.alias.net から avm@redneck.efga.org に改変されている。 A4.VBS が発信する電坊主メール メッセージの本文中に、感染の世代数を表すカウンタが含まれる。 自己検査として、このウイルスは” AVM”という文字列を検索する。１行目に AVM”の文字列が存在するマクロをもつ文書は曜昼間の時間に基づいて変わる可変値である。 さらに、WSH (Windows Scripting Host)がインストールされていれば、 “A4.VBS”と”HAPPY.VBS” (どちらもVisual Basic スクリプト ファイル)を落とし込み、ユーザが気づかないうちにそれらを起動する。 [...]

W97M/ColdApe.H 駆除対策, ウイルス情報ウイルス情報 ウイルス名W97M/ColdApe.Hリスク度低対応定義ファイル4018　99/03/01アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て このウイルスは1999年6月に始入れ報告された。 このウイルスは Word 97 の文書に感染し、Word 97 のマクロ警告機能をオフにする。Word の NORMAN.DOT ファイルに感染し、ThisDocument というモジュールで構成される。 W97M/ColdApe.H は、以下の点を除いて W97M/ColdApe.A に酷似している。 ColdApe の亜類 .H には感染の世代数を表すカウンタと victim log” (MS-Word の登録名は、２次感染するごとに組み込まれる）が含まれている。 ColdApe の亜類 .H は、改変された A4.VBS ファイル(A4.VBS の説明は下記を参照のこと)を含む。ファイルの変更点は次の２点。 アドレス 書き出したが avm@nym.alias.net から avm@redneck.efga.org に改変されている。 A4.VBS が発信する電坊主メール メッセージの本文中に、感染の世代数を表すカウンタが含まれる。 このウイルスは、以下の点を除いて W97M/ColdApe.B に酷似している。 ColdApe の亜類 .H には、HAPPY.VBS スクリプト ファイルに書き込まれた、あるコードのセクションが欠落している。 ColdApe の亜類 .H [...]

W32/Floodnet@MM 駆除対策, ウイルス情報ウイルス名リスク度W32/Floodnet@MM企業ユーザ: 低[要用心]個人ユーザ: 低[要用心]類別トロイの木馬最小定義ファイル(初っ端に検出を確認したパブジョン)4200対応定義ファイル(現在不可欠とされるパブジョン)4354　02/05/01 駆逐補足ウイルス駆逐のヒントアウトラインウイルスのめりはり感染症状感染手立て駆逐手立て ウイルスのめりはり このウイルスは、Incidents.orgの近頃のニュース 報告書に掲載され、メディアの興味を集めたことを浴び、リスク度を 低 [＊] に設定しました。 これは、リモート アクセス型トロイの木馬ウイルスです。起動すると、Microsoft Outlookを使用して、”All Users”というエイリアスにメッセージを発信しようとします。このアドレスがローカルまたはグローバルなアドレス帳に存在しない時、または指定されたSMTPサーバのエイリアスではない時、メッセージは発信されません。それ以世間の時、次のようなメッセージが発信されます。 件名:Thoughts… 本文:I just found this program, and, i dont know why…but it reminded me of you. check it out. 添付ファイル:Cute.exe (228,352バイト) 添付ファイルが実行されると、WINDOWSディレクトリにコピーが保存され、次の2つのレジストリ キーが作成されます。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\Windows=C:\WINDOWS\KERNEL32.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\Windows=C:\WINDOWS\KERNEL32.EXE 次の2つのINIキーも作成されます。 SYSTEM.INI – [boot]\shell=explorer.exe C:\WINDOWS\KERNEL32.EXE WIN.INI – [windows]\load=C:\WINDOWS\KERNEL32.EXE このウイルスは、メモリ内で次のセキュリティ 本職グラムを探し、見つけると停止させます。 Anti-Trojan.exe ANTS.EXE [...]

IRC/Flood.o 駆除対策, ウイルス情報ウイルス名リスク度IRC/Flood.o企業ユーザ: 低個人ユーザ: 低類別トロイの木馬最小定義ファイル(初っ端に検出を確認したパブジョン)4188対応定義ファイル(現在不可欠とされるパブジョン)4820　02/02/19 駆逐補足ウイルス駆逐のヒントアウトラインウイルスのめりはり感染症状感染手立て駆逐手立て ウイルスのめりはり IRC/Flood.oは、IRCフラッダのトロイの木馬で、リモート アクセス サーバです。このトロイの木馬は、自己解凍型アーカイブによって落とし込まれます。ドロッパが実行されると、以下のファイルがWINDOWS\FONTS\MICROSOFTディレクトリに抽出されます。 ariel.ttfクライアントが参加するIRCチャネルの書き出した Courier.ttf後続のIRC接続命令が記述されているテキスト ファイルをダウンロードする命令 Explorer.exeメインのトロイの木馬、リモート アクセス サーバ、コンポーネント fonts.ttf使用される別名の書き出した mirc.inimIRCの環境界設定ファイル msvxd.dll氾濫するIPアドレスが保存される page.ttf氾濫命令が記述されている reg.ttfトロイの木馬によって使用されるDLLファイル remote.iniIRC接続命令 router.ttf氾濫命令が記述されている script.iniTASK.EXEの実行、%SysDir%\MSHTA.EXEの削除を行い、氾濫命令が記述されている script.ttfIRC氾濫命令が記述されている task.exeトロイの木馬を消去するときに使用されるHidewin本職グラム システムの起動時にトロイの木馬が読み込まれるように、次のレジストリ キーが作成されます。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\(デフォルト)= c:\windows\fonts\microsoft\explorer.exe WIN.INIが読み込まれると、runの値が削除されます。 以下の症状が見られる時、このウイルスに感染している割合があります。 ポート113と6667が開いたままに入る。 感染手立て 駆逐手立て■現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。 Windows ME/XPでの駆逐についての補足 ,IRC/Flood.o 削除対策