スパイウェア 駆除,パソコン ウイルス,ウイルス 無料

Artemis!10A4D2BC47D8対策,

ウイルス情報ウイルス名リスク度Artemis!10A4D2BC47D8企業ユーザ: N/A
個人ユーザ: N/A類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5904対応定義ファイル
(現在不可欠とされるパブジョン)5909　2010/03/05

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

Artemis!10A4D2BC47D8はトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

ファイル本職パティ

MD5: 10A4D2BC47D88BACB3E7E3FB841D741B

SHA1: 99CBB7FFC04C874A74CC3C3082B1F4EF37C3D739

ウイルスのめりはり

実行時、以下の敷地に自身をコピーします。

%SysDir%\srvrest.exe

%WinDir%\dirsys.exe

以下のレジストリキーがシステムに追加されます。

HKEY_LOCAL_MACHINE\SOFTWARE\BiezSoft

HKEY_USERS\S-1-(不定)\ Software\Microsoft\Windows\CurrentVersion\Policies\System

以下のレジストリ値がシステムに追加されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]

“jazz20185″= “%SysDir%\srvrest.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]

“5u12y41″= “%WinDir%\dirsys.exe”

上記のレジストリ項目により、Windowsが起動するたびにArtemis!10A4D2BC47D8が実行されるようにします。

以下の値をレジストリキーに追加して、タスクマネージャ、フォルダオプション、レジストリ、コマンド本職ンプトを一番効にします。

[HKEY_USERS\S-1-(不定)\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\]

“NoFolderOptions”= “0×00000001″

[HKEY_USERS\S-1-(不定)\ Software\Microsoft\Windows\CurrentVersion\Policies\System\]

“DisableRegistryTools”=”0×00000001″

[HKEY_USERS\S-1-(不定)\ Software\Microsoft\Windows\CurrentVersion\Policies\System\]

“DisableTaskMgr”=”0×00000001″

[HKEY_USERS\S-1-(不定)\ Software\Microsoft\Windows\CurrentVersion\Policies\System\]

“DisableCMD”=”0×00000001″

以下のレジストリ値が改変されます。

[HKEY_USERS\S-1-(不定)\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]

“HideFileExt”=” 0×00000001″

上記のレジストリ値により、ファイル拡張坊主を非表示にします。

以下の敷地に自身をコピーします。

%SysDir%\srvrest.exe

%WinDir%\dirsys.exe

[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)

%SysDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)]

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のレジストリキーが存在します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電坊主メールなどを便秘気味て配布されます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,Artemis!10A4D2BC47D8対策

Artemis!E9C1481D8414対策,

ウイルス情報ウイルス名リスク度Artemis!E9C1481D8414企業ユーザ: N/A
個人ユーザ: N/A類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5904対応定義ファイル
(現在不可欠とされるパブジョン)5909　2010/03/05

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

Artemis!E9C1481D8414はトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

ファイル本職パティ

MD5: E9C1481D8414E735B1577214D98E7F2B

SHA1: 73E6AB5FDED7DF845E845EE66082297A666B7B04

ウイルスのめりはり

Artemis!E9C1481D8414の反応はArtemis!10A4D2BC47D8という名前で検出されるファイルと同じです。

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のレジストリキーが存在します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電坊主メールなどを便秘気味て配布されます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,Artemis!E9C1481D8414対策

JS/Redirector.k対策,

ウイルス情報ウイルス名リスク度JS/Redirector.k企業ユーザ: 低[要用心]
個人ユーザ: 低[要用心]類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5911対応定義ファイル
(現在不可欠とされるパブジョン)5911　2010/03/04

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

JS/Redirector.kはユーザのコンピュータにマルウェアをダウンロードして実行するエクス本職イトにブラウザウィンドウをリダイレクトする難読化されたJavaScriptです。

ウイルスのめりはり

– 2010年3月5昼間の時間書き換え –

以下のWebサイトで注目されたため、リスク度を[低]に変更しました。

http://isc.sans.org/diary.html?storyid=8344

–

McAfee LabsはJS/Redirector.kへのリンクが埋め込まれた以下の電坊主メールが広範囲にばらまかれていることを確認しました。

JS/Redirector.kにより、ブラウザのウィンドウが以下のサイトにリダイレクトされます。

queoda[削除].in:3129/js

このウイルス情報の作成時、サイトはアクセスできないコンディションでした。

以下の症状が見られる時、このウイルスに感染している割合があります。

身も知らぬWebサイトへの予期しないネットワーク接続が行われます。

感染手立て

JS/Redirector.kはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,JS/Redirector.k対策

Generic.dx!oto対策,

ウイルス情報ウイルス名リスク度Generic.dx!oto企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5910対応定義ファイル
(現在不可欠とされるパブジョン)5910　2010/03/04

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

Generic.dx!otoはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

ファイル情報

Md5 - daf8dfbf748e6f6b31fea81ec62fed56

SHA - d78980a227b0ba4aa58c3cb2b4c5a04cd61e9689

ウイルスのめりはり

実行時、以下の敷地に自身をコピーします。

%WinDir%\system32\javant.exe

また、以下のファイル名を一番くなって、P2Pアプリケーションの共有フォルダに自身をコピーして拡散します。

共有フォルダ

%ProgramFiles%\winmx\shared\

%ProgramFiles%\tesla\files\

%ProgramFiles%\morpheus\my shared folder\

%ProgramFiles%\emule\incoming\

%ProgramFiles%\edonkey2000\incoming\

%ProgramFiles%\bearshare\shared\

%ProgramFiles%\grokster\my grokster\

%ProgramFiles%\icq\shared folder\

%ProgramFiles%\kazaa lite k++\my shared folder\

%ProgramFiles%\kazaa lite\my shared folder\

%ProgramFiles%\kazaa\my shared folder\

ファイル名

K-Lite Mega Codec v5.5.1.exe

YouTubeGet 5.4.exe

Windows 2008 Enterprise Server VMWare Virtual Machine.exe

K-Lite Mega Codec v5.6.1 Portable.exe

Adobe Photoshop CS4 crack.exe

VmWare 7.0 keygen.exe

WinRAR v3.x keygen RaZoR.exe

Twitter FriendAdder 2.1.1.exe

PDF Unlocker v2.0.3.exe

Image Size Reducer Pro v1.0.1.exe

Anti-Porn v13.5.12.29.exe

Norton Internet Security 2010 crack.exe

Kaspersky AntiVirus 2010 crack.exe

PDF-XChange Pro.exe

Windows 7 Ultimate keygen.exe

RapidShare Killer AIO 2010.exe

Ashampoo Snap 3.02.exe

Blaze DVD Player Pro v6.52.exe

Adobe Illustrator CS4 crack.exe

Rapidshare Auto Downloader 3.8.exe

Trojan Killer v2.9.4173.exe

PDF to Word Converter 3.0.exe

Google SketchUp 7.1 Pro.exe

McAfee Total Protection 2010.exe

Mp3 Splitter and Joiner Pro v3.48.exe

Youtube Music Downloader 1.0.exe

Adobe Acrobat Reader keygen.exe

VmWare keygen.exe

AnyDVD HD v.6.3.1.8 Beta incl crack.exe

Ad-aware 2010.exe

BitDefender AntiVirus 2010 Keygen.exe

Norton Anti-Virus 2010 Enterprise Crack.exe

Total Commander7 license+keygen.exe

LimeWire Pro v4.18.3.exe

Download Accelerator Plus v9.exe

Internet Download Manager V5.exe

Myspace theme collection.exe

Nero 9 9.2.6.0 keygen.exe

Motorola, nokia, ericsson mobil phone tools.exe

Absolute Video Converter 6.2.exe

Daemon Tools Pro 4.11.exe

Download Boost 2.0.exe

Avast 4.8 Professional.exe

Grand Theft Auto IV (Offline Activation).exe

Alcohol 120 v1.9.7.exe

CleanMyPC Registry Cleaner v6.02.exe

Super Utilities Pro 2009 11.0.exe

Power ISO v4.2 + keygen axxo.exe

G-Force Platinum v3.7.5.exe

Divx Pro 7 + keymaker.exe

Magic Video Converter 8 0 2 18.exe

Sophos antivirus updater bypass.exe

DVD Tools Nero 10.5.6.0.exe

Winamp.Pro.v7.33.PowerPack.Portable+installer.exe

PDF password remover (works with all acrobat reader).exe

Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe

Windows2008 keygen and activator.exe

Tuneup Ultilities 2010.exe

Kaspersky Internet Security 2010 keygen.exe

Windows XP PRO Corp SP3 valid-key generator.exe

Starcraft2 Patch v0.2.exe

Starcraft2 keys.txt.exe

Starcraft2 Crack.exe

Starcraft2 Oblivion DLL.exe

Starcraft2.exe

また、以下の敷地にファイルをダウンロードします。

%AppData%\SystemProc\lsass.exe

Generic.dx!otoが実行されると、「whatismyip.com」に接続してターゲットマシンのIPアドレスを検索します。また、自身のコードをsvchost.exeに挿入して、リモートポート53を介して、202.54.[削除].60に接続します。

以下のレジストリキーがシステムに追加されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\japp1]

以下のレジストリ値がシステムに追加されます。

[HKEY_USERS\S-1(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]

“SunJavaUpdate01:” = “%WinDir%\system32\javant.exe”

上記のレジストリ項目により、Windowsが起動するたびにGeneric.dx!otoが実行されるようにします。

以下の値をレジストリキーに追加して、Windowsのユーザアカウント操作を一番効にします。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\]

“UACDisableNotify:” = “0×00000001″

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]

“EnableLUA:” = “0×00000000″

以下の値をレジストリキーに追加して、Windowsファイアウォールで了解されたアプリケーションとして自身を登録します。

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]

“%WinDir%\system32\javant.exe:”= “%WinDir%\system32\javant.exe:*:Enabled:Explorer”

以下のレジストリ値が改変されます。

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\]

“Start:” = “0×00000004”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\]

“Start:” = “0×00000004”

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\]

“Start:”= “0×00000004”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\]

“Start:”= “0×00000004”

上記のレジストリ項目により、Error Reporting ServiceおよびWindows Security Center Serviceを一番効にします。

ユーザのシステムを乗っ取った後、以下のよく使われている検索エンジンに入力された検索キーワードを偵察します。

Google

yahoo

live

msn

bing

また、以下の検索キーワードを除世間します。

pharma

casino

finance

mortgage

insurance

gambling

health

hotel

travel

antivirus

antivir

pocker

poker

video

baby

bany

porn

golf

diet

vocations

design

graphic

football

footbal

estate

job

baseball

shop

books

gifts

money

spyware

Generic.dx!otoはシステムに接続されているリムーバブルメディアに自身をコピーして拡散し、「autorun.inf」ファイルを作成して、デバイスが接続された別のシステムで自身を実行します。

[%WinDir%はWindowsフォルダ、%ProgramFiles%はC:\Program Files、%AppData%はC:\Documents and Settings\[ユーザ名]\Application Data]

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルおよびレジストリキーが存在します。

上記のIPアドレスへの予期しないネットワーク接続が存在します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電坊主メールなどを便秘気味て配布されます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,Generic.dx!oto対策

Generic Downloader.x!dcv対策,

ウイルス情報ウイルス名リスク度Generic Downloader.x!dcv企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5904対応定義ファイル
(現在不可欠とされるパブジョン)5909　2010/02/26

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

Generic Downloader.x!dcvはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

ファイル情報：

MD5 - 8BD10499A3327957B48F85EEBDB09D6B

SHA - D905CD13E025685B10CBD2D03FA519444F3E7D9F

ウイルスのめりはり

実行時、以下のレジストリ項目が追加されます。

以下の敷地に自身をコピーします。

%AppData%\SystemProc\lsass.exe

以下のレジストリ項目により、Firefoxに偽のアドオンを作成し、ブラウザの復活動後に実行されるようにします。

%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul

%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest

%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf

以下のキーが追加されます。

HKEY_USERS\S-1-(不定)\Software\Microsoft\Visual Basic

HKEY_USERS\S-1-(不定)\Software\Microsoft\Visual Basic\6.0

以下の値が追加されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

RTHDBPL = “%AppData%\SystemProc\lsass.exe”

上記の項目により、Windowsが起動するたびにlsass.exeが実行されるようにします。

[HKEY_CURRENT_USER\Identities]

Curr version = “12″

Last Date = “5-3-2010″

Inst Date = “5-3-2010″

Popup count = “0″

Popup time = “0″

Popup date = “0″

以下のフォルダが追加されます。

%AppData%\SystemProc

%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}

%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome

%ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content

以下のファイルが削除されます。

%UserProfile%\Desktop\jnotifier.exe

以下は一般的な合格変数の既定値です。

%AppData% - C:\Documents and Settings\[ユーザ名]\Application Data.

%ProgramFiles% - C:\Program Files.

%UserProfile%\ - C:\Documents and Settings\[ユーザ名]

以下の症状が見られる時、このウイルスに感染している割合があります。

上記の活動が見られます。

上記のファイルが存在します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電坊主メールなどを便秘気味て配布されます。

駆逐手立て

AVERTは、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆逐についての補足

,Generic Downloader.x!dcv対策

W97M/Listi.A対策,

ウイルス情報ウイルス名リスク度W97M/Listi.A企業ユーザ:
個人ユーザ: 類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)4118対応定義ファイル
(現在不可欠とされるパブジョン)4118　01/03/19

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

ウイルスのめりはり

このウイルスは、2001年3月19昼間の時間にMcAfee AVERTによって確認されました。

W97M/Listi.Aは、OfficeXP製気品スイートのWord2002を対象に初入れ作成されたマクロウイルスです。

このマクロ ウイルスは、セキュリティ レベルが高く設定されていると、起動しません。したがって、Word2002がデフォルトで設定されている時、このウイルスに感染することはありません。

このウイルスには、ダメージを引き起こす発病ルーチンはありませんが、Microsoft Agentをインストールして、OfficeXPにオーディオ システム ハードウェアを設置すると、音声メッセージが再生されることがあります

ウイルス ソース コードのコメントには、次の文字が含まれます。

XP.Kallisti

(c) 2001 jackie // linezer0

感染文書を開くと、Wordがいきなり終了することがあります。この現象は、ウイルスによるものです。

ウイルスは、初っ端にレジストリのマクロ セキュリティ設定を調べ、不可欠に応じて、設定を改変してから、Wordを終了します。

感染後、ウイルス コードにある命令により、ホスト システムから最大の音量で次のメッセージが再生されます。

“Hello, (UserName)!”

“I said: Hello (UserName)! “

“Let me tell you something about a confused girl…”

“…once she turned around and thought,”

“how damn simple it is,”

“leaving a man she once loved,”

“but she did not notice,”

“that her heart had become deaf by the pain…”

“Oh, I forgot…”

“I think you are infected with XP.Kallisti…

　 (the first virus for Office XP ever)”

“Damn… I have to go now…”

“Goodbye now (UserName)!”

＜経緯＞

“ハロー、！”

“私はこう言ったんだ。 ハロー! “

“あわれな女の坊主の話をしよう…”

“…彼女は振り向いて、こう睨んだ”

“一度愛した男と離婚することは”

“なんて容易なことなのだろうと”

“だけど彼女は、別れた痛みによって”

“びりな言葉にも耳を傾けられなくなってしまったことに気付かなかった…”

“大切なことを言い忘れていた…”

“あなたは、XP.Kallistiウイルスに感染しています…

　 (これはOffice XPに感染する初入れのウイルスです）”

“遺憾…とっくに行かなければ…”

“さようなら!”

以下の症状が見られる時、このウイルスに感染している割合があります。

感染手立て

駆逐手立て

,W97M/Listi.A対策

PalmOS/LibertyCrack対策,

ウイルス情報ウイルス情報

ウイルス名PalmOS/LibertyCrack
類別トロイの木馬ファイルサイズ低最小定義ファイル
(初っ端に検出を確認したパブジョン)4094対応定義ファイル
(現在不可欠とされるパブジョン)4094　00/08/28

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

このトロイの木馬は、Libertyアプリケーションの共同作成者の一人によって、IRC経由で配布された物です。

PalmOSオペレーティングシステムを実行する持ち運び端末で反応するトロイの木馬です。

感染対象と入る端末としては、Palm、Handspring、IBM、TRG、Symbol Technologiesなどが生産している端末が挙げられます。

PalmOSデバイス上でNintendoのGameBoyの実行を可能にするLibertyアプリケーションのクラックを偽装しています。

このクラックは、一番料で入手できるシェアウェア版のLibertyを、完全登録版Libertyに変えるよう、指示してきます。

ところが指示に追随して、実行した時、ハンドヘルドデバイスからすべてのアプリケーションを消して、復活動しようとします。

このトロイの木馬は、PalmOSデバイスでは、Libertyアプリケーションと同じアイコンでランチャーに表示されます。アイコン名は”Crack 1.1″です。

PCでは、”liberty_1_1_crack.prc”というファイル名で表示されます。

PalmOSのファイルはWindows上では、.PRC拡張坊主のファイルになります。したがってウイルス検査時には、以下のいずれかの手立てをとってくかっこ悪い。

１）： 「すべてのファイル」を検査するよう設定する。

２）：「スキャンするファイルの拡張坊主」にPRCを追加する

,PalmOS/LibertyCrack対策

FakeAlert-MK対策,

ウイルス情報ウイルス名リスク度FakeAlert-MK企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5904対応定義ファイル
(現在不可欠とされるパブジョン)5904　2010/02/26

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

FakeAlert-MKはマシンが感染またはリスクにさらされているとユーザに警告する偽の警告メッセージを表示します。偽のメッセージの意図は、ユーザに宣伝しているスパイウェア対策製気品を購入させることです。

FakeAlert-MKはすっかり自動でインストールされ、システムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆逐するため、製気品を登録するよう注文します。

FakeAlert-MKは、偽のアラートを表示して、ユーザにマルウェアの異常を「修復する」製気品を購入させようとするトロイの木馬です。

ファイル情報

MD5 - 4a77d957a5900c8fadb50b95d51f4376

SHA - c508b346d19fa5b005421a3cc8394bc83fdae53b

ウイルスのめりはり

FakeAlert-MKが実行されると、以下の敷地に自身をコピーします。

%AppData%\vopgce\igmnsftav.exe

ユーザのシステムの乗っ取り後、以下のようにシステムトレイに偽の警告メッセージを表示します。

また、システムがひどく感染しているとユーザに警告する偽のウイルススキャナを表示します。

ユーザが「Yes, remove threats」をクリックすると、ユーザをリダイレクトして、偽のスパイウェア対策製気品を購入させます。

以下のレジストリキーがシステムに追加されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\avsoft]

[HKEY_USERS\S-1-(不定)\Software\avsoft]

以下のレジストリ値がシステムに追加されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
bpoudhxk = %26quot;%AppData%\vopgce\igmnsftav.exe%26quot;

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
bpoudhxk = %26quot;%AppData%\vopgce\igmnsftav.exe%26quot;

上記のレジストリ項目により、Windowsが起動するたびにFakeAlert-MKが実行されるようにします。

以下のレジストリ値が改変されます。

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\]
“ProxyEnable:” = “0×00000001”

[HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\]
“ProxyEnable:”= “0×00000001”

上記のレジストリ項目により、感染したマシンのインターネットアクセスを一番効にします。

注：%AppData%はアプリケーション固有のデータの一般的なレジストリとして使われるファイルシステムフォルダを指す変数です。一般的な合格はC:\Documents and Settings\[ユーザ名]\Application Dataです。

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルおよびレジストリキーが存在します。

大切な実行ファイルの実行を防ぎ、感染したと表示します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを便秘気味て配布されます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,FakeAlert-MK対策