Generic.dx!osw対策,

ウイルス情報ウイルス名リスク度Generic.dx!osw企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5910対応定義ファイル
(現在不可欠とされるパブジョン)5910 2010/03/04

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

Generic.dx!oswはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

ファイル情報

MD5 – 65419FF82AC3AE8D15F828C29F3E6217

SHA – FAA689B0EBD5F4883F4F2523E05AB7AE09815CEC

ウイルスのめりはり

実行時、以下のファイルをドロップします。

%WinDir%\mswinsck.dat [隠しファイル]

%WinDir%\system32\javawss.exe [Generic.dx!osmという名前で検出]

また、以下の敷地に自身をコピーします。

%WinDir%\system32\javan.exe [Generic.dx!osw]

「Whatismyip.com」に接続して、ターゲットのIPアドレスを入手します。

また、P2Pアプリケーションの共有フォルダに自身をコピーして拡散します。

%ProgramFiles%\LimeWire\Shared\

%ProgramFiles%\Grokster\My Grokster\

%ProgramFiles%\Morpheus\My Shared Folder\

上記のフォルダに以下のユーザの気を差し引くファイル名で自身のコピーを作成します。

K-Lite Mega Codec v5.5.1.exe

YouTubeGet 5.4.exe

Windows 2008 Enterprise Server VMWare Virtual Machine.exe

K-Lite Mega Codec v5.6.1 Portable.exe

Adobe Photoshop CS4 crack.exe

VmWare 7.0 keygen.exe

WinRAR v3.x keygen RaZoR.exe

Twitter FriendAdder 2.1.1.exe

PDF Unlocker v2.0.3.exe

Image Size Reducer Pro v1.0.1.exe

Anti-Porn v13.5.12.29.exe

Norton Internet Security 2010 crack.exe

Kaspersky AntiVirus 2010 crack.exe

PDF-XChange Pro.exe

Windows 7 Ultimate keygen.exe

RapidShare Killer AIO 2010.exe

Ashampoo Snap 3.02.exe

Blaze DVD Player Pro v6.52.exe

Adobe Illustrator CS4 crack.exe

Rapidshare Auto Downloader 3.8.exe

Trojan Killer v2.9.4173.exe

PDF to Word Converter 3.0.exe

Google SketchUp 7.1 Pro.exe

McAfee Total Protection 2010.exe

Mp3 Splitter and Joiner Pro v3.48.exe

Youtube Music Downloader 1.0.exe

Adobe Acrobat Reader keygen.exe

VmWare keygen.exe

AnyDVD HD v.6.3.1.8 Beta incl crack.exe

Ad-aware 2010.exe

BitDefender AntiVirus 2010 Keygen.exe

Norton Anti-Virus 2010 Enterprise Crack.exe

Total Commander7 license+keygen.exe

LimeWire Pro v4.18.3.exe

Download Accelerator Plus v9.exe

Internet Download Manager V5.exe

Myspace theme collection.exe

Nero 9 9.2.6.0 keygen.exe

Motorola, nokia, ericsson mobil phone tools.exe

Absolute Video Converter 6.2.exe

Daemon Tools Pro 4.11.exe

Download Boost 2.0.exe

Avast 4.8 Professional.exe

Grand Theft Auto IV (Offline Activation).exe

Alcohol 120 v1.9.7.exe

CleanMyPC Registry Cleaner v6.02.exe

Super Utilities Pro 2009 11.0.exe

Power ISO v4.2 + keygen axxo.exe

G-Force Platinum v3.7.5.exe

Divx Pro 7 + keymaker.exe

Magic Video Converter 8 0 2 18.exe

Sophos antivirus updater bypass.exe

DVD Tools Nero 10.5.6.0.exe

Winamp.Pro.v7.33.PowerPack.Portable+installer.exe

PDF password remover (works with all acrobat reader).exe

Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe

Windows2008 keygen and activator.exe

Tuneup Ultilities 2010.exe

Kaspersky Internet Security 2010 keygen.exe

Windows XP PRO Corp SP3 valid-key generator.exe

Starcraft2 Patch v0.2.exe

Starcraft2 keys.txt.exe

Starcraft2 Crack.exe

Starcraft2 Oblivion DLL.exe

Starcraft2.exe

以下のレジストリキーがシステムに追加されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7F2G3GXM-HP26-D7E5-F3LM-82EG3114PI2D}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\japplet3

HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\japplet3

以下のレジストリ値が追加されます。

以下の値をレジストリキーに追加して、Windowsファイアウォールで了解されたアプリケーションとして自身を登録します。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]

“%WinDir%\System32\javan.exe” = “%WinDir%\System32\javan.exe:*:Enabled:Explorer”

以下のレジストリにより、Generic.dx!oswが乗っ取ったシステムに登録され、復活動のたびに実行されるようにします。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7F2G3GXM-HP26-D7E5-F3LM-82EG3114PI2D}\]

“StubPath” = “%WinDir%\System32\javawss.exe”

[HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\]

“Cisco Systems VPN client” = “%WinDir%\System32\javawss.exe”

[HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]

“SunJavaUpdaterv14” = “%WinDir%\System32\javan.exe”

[HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]

“Cisco Systems VPN client” = “%WinDir%\System32\javawss.exe”

以下のレジストリ値が改変されます。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\]

“Start” = “0×00000004″

以下のレジストリ項目により、Error Reporting Serviceを一番効にします。

「%WinDir%はデフォルトのWindowsフォルダ、%Programfiles%はC:\Program Files\]

以下のIPアドレスに接続します。

リモートポート53から202.54.[削除].60

リモートポート443から204.13.[削除].126

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルおよびレジストリキーが存在します。

上記のIPアドレスへの予期しないネットワーク接続が存在します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電坊主メールなどを便秘気味て配布されます。

駆逐手立て

AVERTは、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆逐についての補足

,Generic.dx!osw対策