スパイウェア 駆除,パソコン ウイルス,ウイルス 無料

Generic BackDoor!ccc対策,

ウイルス情報ウイルス名リスク度Generic BackDoor!ccc企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5904対応定義ファイル
(現在不可欠とされるパブジョン)5905　2010/02/26

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

Generic BackDoor!cccはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

ファイル情報：

MD5 - AC53EC7374B77C7FD8097C1881CA9D99

SHA1 - 1C81FD7BB86785D877732035C7A2F5F54979D90C

ウイルスのめりはり

Generic BackDoor!cccは、リモート攻撃者による乗っ取ったコンピュータへの一番了解のアクセスと操作を可能にする背景ドアです。

実行時、ペイロードコンポーネントをドロップし、レジストリ項目を改変し、Windowsエクス本職ーラ過程を復活動します。

実行時、システムに以下のファイルをドロップします。

%SystemDir%\dsuiext.dat

%SystemDir%\dsuiext.ocx [Generic BackDoor!cbmという名前で検出]

%SystemDir%\setuddll.dat

%SystemDir%\winbrbnd.dat

%SystemDir%\wowfajui.dat

上記のファイル名はランダムに作成され、ドロップされるファイル名は実行ごとに変わります。

実行時、以下のレジストリ項目が作成されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6AD50C1-5B75-40DA-E841-32715C4A45D7}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6AD50C1-5B75-40DA-E841-32715C4A45D7}\InprocServer32

実行時、以下のレジストリ項目が追加されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6AD50C1-5B75-40DA-E841-32715C4A45D7}\]
“InprocServer32″ = “%SystemDir%\dsuiext.ocx”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6AD50C1-5B75-40DA-E841-32715C4A45D7}\InprocServer32\]
“ThreadingModel” = “Apartment”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\]
“dsuiext” = “{E6AD50C1-5B75-40DA-E841-32715C4A45D7}”

上記のレジストリ項目により、ドロップされたGeneric BackDoor!cccを乗っ取ったシステムに登録し、Windows起動時に実行されるようにします。

実行時、乗っ取ったユーザのWindowsエクス本職ーラ過程を終了し、ドロップされたコンポーネントが新しいエクス本職ーラ過程にロードされるようにします。

また、コマンドシェルで命令を実行して自身を削除します。

以下は一般的な合格変数の既定値です。

[%SystemDrive% = オペレーティングシステムがインストールされている割り知ってブで、通常はC:\

%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)

%SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)

%ProgramFiles% = \Program Files]

以下の症状が見られる時、このウイルスに感染している割合があります。

上記の反応およびレジストリ項目が存在します。

上記のファイルが存在します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電坊主メールなどを便秘気味て配布されます。また、一部の亜類はWebの脆弱性を利用してインストールされます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

Windows ME/XPでの駆逐についての補足

,Generic BackDoor!ccc対策

FakeAlert-WwSec対策,

ウイルス情報ウイルス名リスク度FakeAlert-WwSec企業ユーザ: N/A
個人ユーザ: N/A類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5887対応定義ファイル
(現在不可欠とされるパブジョン)5895　2010/03/01

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

FakeAlert-WwSecは偽の警告を行うトロイの木馬です。名前の通り、乗っ取ったユーザのシステムに偽の警告を表示します。実際にはそうではありませんが、ユーザのシステムが多大な悪影響を浴びているように装います。その後、偽のバルーンヒントを表示し、乗っ取られたユーザがクリックすると、偽のウイルス対策ソフトウェアを買うよう促します。

FakeAlert-WwSecはすっかり自動でインストールされ、システムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆逐するため、製気品を登録するよう注文します。

ウイルスのめりはり

実行時、FakeAlert-WwSecは以下のレジストリキーを作成します。

HKEY_USERS\S-1-5-21-602162358-1897051121-839522115-1003_Classes\.exe

HKEY_USERS\S-1-5-21-602162358-1897051121-839522115-1003_Classes\secfile

HKEY_CURRENT_USER\Software\Classes\.exe

HKEY_CURRENT_USER\Software\Classes\secfile

HKEY_CLASSES_ROOT\.exe

HKEY_CLASSES_ROOT\secfile

以下のレジストリ値がシステムに追加されます。

[HKEY_CURRENT_USER\Software\Microsoft\Windows "Identity"]

データ： 8A, 53, 5C, F6

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile "DisableNotifications"]

データ： 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile "DoNotAllowExceptions"]

データ： 00, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile "EnableFirewall"]

データ： 00, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "DisableNotifications"]

データ： 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "DoNotAllowExceptions"]

データ： 00, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile "DisableNotifications"]

データ： 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile "DoNotAllowExceptions"]

データ： 00, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile "EnableFirewall"]

データ： 00, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "DisableNotifications"]

データ： 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "DoNotAllowExceptions"]

データ： 00, 00, 00, 00

以下のレジストリ値が改変されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command "(既定)"]

改変後のデータ： “C:\Documents and Settings\%User%\Local Settings\Application Data\av.exe” /START “C:\Program Files\Intern

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "AntiVirusOverride"]

改変後のデータ： 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "FirewallOverride"]

改変後のデータ： 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess "Start"]

改変後のデータ： 04, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch "Epoch"]

改変後のデータ： 2D, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess "Start"]

改変後のデータ： 04, 00, 00, 00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch "Epoch"]

改変後のデータ： 2D, 00, 00, 00

以下のファイルがFakeAlertによってドロップ／作成されます。

c:\Documents and Settings\%User%\Local Settings\Application Data\av.exe (サイズ： 176,128バイト)

c:\Documents and Settings\%User%\Local Settings\Application Data\B66D8 (サイズ： 7,296バイト)

FakeAlertは以下のセキュリティセンターをロードし、ファイアウォールまたはウイルス対策がインストールされていないことをユーザに通知します。これはユーザをだあまつさえ偽のスキャンソフトウェアを購入させようとする偽のセキュリティセンターです。

このセキュリティセンターがロードされると、FakeAlertはユーザのハードディスク割り知ってブの偽のスキャンを開始し、マシンが複数のマルウェアファイルに感染しているとユーザに通知します。

偽のスキャンが完了すると、以下の画面が表示され、マシンが感染していると偽り、ユーザをだあまつさえソフトウェアを購入させようとします。ユーザをだあまつさえ「YES」をクリックさせ、Fake Alertソフトウェアを購入させるため、「NO」ボタンの位置がめて替えられています。

ユーザがFake Alertを閉じると、マシンが攻撃を浴びており、保護が不可欠だと欺くポップアップメッセージをタスクパブに表示し継続します。

以下のドメインにアクセスする割合があります。

antivirus-[削除].com

livewindowsant[削除].com

proantivir[削除].com

pro-antivir[削除].com

antivirus[削除].com

microa-ntvir[削除].com

antivirus-[削除].com

windows-[削除].com

spyware-destroy[削除].com

システムの改変

以下は一般的な合格変数の既定値です。

%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)

%SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)

以下の症状が見られる時、このウイルスに感染している割合があります。

システムがひどく感染しているかのような偽の警告を表示します。

レジストリを改変します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを便秘気味て配布されます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,FakeAlert-WwSec対策

FakeAlert-Krypt対策,

ウイルス情報ウイルス名リスク度FakeAlert-Krypt企業ユーザ: N/A
個人ユーザ: N/A類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5890対応定義ファイル
(現在不可欠とされるパブジョン)5894　2010/03/01

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

FakeAlert-Kryptは偽の警告を行うトロイの木馬です。名前の通り、乗っ取ったユーザのシステムに偽の警告を表示します。実際にはそうではありませんが、ユーザのシステムが多大な悪影響を浴びているように装います。その後、偽のバルーンヒントを表示し、乗っ取られたユーザがクリックすると、偽のウイルス対策ソフトウェアを買うよう促します。

FakeAlert-Kryptはすっかり自動でインストールされ、システムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆逐するため、製気品を登録するよう注文します。

ウイルスのめりはり

実行時、FakeAlert-Kryptは以下のレジストリキーを作成します。

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

HKEY_CURRENT_USER\Software\SE2010

以下のレジストリ値がシステムに追加されます。

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter]

“Enabled” = 00, 00, 00, 00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]

“EnableAutoTray” = 00, 00, 00, 00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

“NoActiveDesktopChanges” = 01, 00, 00, 00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

“NoSetActiveDesktop” = 01, 00, 00, 00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

“DisableTaskMgr” = 01, 00, 00, 00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

“Security essentials 2010″ = C:\Program Files\Securityessentials2010\SE2010.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop]

“NoChangingWallpaper” = 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

“NoActiveDesktopChanges” = 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

“NoSetActiveDesktop” = 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

“EnableLUA” = 00, 00, 00, 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“smss32.exe” = C:\WINDOWS\system32\smss32.exe

以下のレジストリ値が改変されます。

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General "Wallpaper"]

%SystemRoot%\system32\warnings.html

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"]

C:\WINDOWS\system32\winlogon32.exe

c:\Documents and Settings\%User%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (788バイト)

c:\Documents and Settings\%User%\Desktop\Security essentials 2010.lnk (788バイト)

c:\Documents and Settings\%User%\Start Menu\Security essentials 2010.lnk ( 770バイト)

c:\Program Files\Securityessentials2010\SE2010.exe (1,496,576バイト)

c:\%WinDir%\%SystemDir%\41.exe (0バイト)

c:\%WinDir%\%SystemDir%\helpers32.dll (24,576バイト)

c:\%WinDir%\%SystemDir%\smss32.exe (43,520バイト)

c:\%WinDir%\%SystemDir%\warnings.html (4,278バイト)

c:\%WinDir%\%SystemDir%\winlogon32.exe (43,520バイト)

バックが変更され、以下のようなメッセージが表示されます。また、アイコンの背風景が赤に変わります。

ユーザが「OK」ボタンをクリックすると、メイン本職グラムがロードされ、偽のハードディスク割り知ってブのスキャンが開始されます。

FakeAlertを閉じることはできますが、以下のようなポップアップメッセージや書き換えメッセージがタスクパブに表示され継続します。

乗っ取られたユーザがアプリケーションを開こうとすると、ファイルが感染していて実行できないため、FakeAlertを買うよう提起する以下のような警告メッセージ／バルーンヒントが表示されます。

以下のドメインにアクセスする割合があります。

For-su[削除]-se.com

88.80.[削除]9

Winter-sm[削除].com

以下の症状が見られる時、このウイルスに感染している割合があります。

システムがひどく感染しているかのような偽の警告を表示します。

レジストリを改変します。

ユーザをだまし、偽のウイルス対策ソフトウェアの購入を促します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを便秘気味て配布されます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,FakeAlert-Krypt対策

FakeAlert-AVPsec対策,

ウイルス情報ウイルス名リスク度FakeAlert-AVPsec企業ユーザ: N/A
個人ユーザ: N/A類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5903対応定義ファイル
(現在不可欠とされるパブジョン)5903　2010/03/01

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

FakeAlert-AVPsecは偽の警告を行うトロイの木馬です。名前の通り、乗っ取ったユーザのシステムに偽の警告を表示します。実際にはそうではありませんが、ユーザのシステムが多大な悪影響を浴びているように装います。その後、偽のバルーンヒントを表示し、乗っ取られたユーザがクリックすると、偽のウイルス対策ソフトウェアを買うよう促します。

FakeAlert-AVPsecはすっかり自動でインストールされ、システムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆逐するため、製気品を登録するよう注文します。

ウイルスのめりはり

FakeAlert-AVPsecが実行されると、以下のメッセージを表示し、自身をインストールします。

以下のレジストリキーが追加されます。

HKEY_CURRENT_USER\Software\3

HKEY_CLASSES_ROOT\SAb45b.DocHostUIHandler

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[複数のアプリケーション]

以下のレジストリ値が追加されます。

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes [URLs]

データ： http://findg[削除].com/?%26uid=7%26q={searchTerms}

HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes [URL]

データ： http://findg[削除].com/?%26uid=7%26q={searchTerms}

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [IIL]

データ： 00, 00, 00, 00

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltHI]

データ： 00, 00, 00, 00

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [ltTST]

データ： A5, 81, 00, 00

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer [PRS]

データ： http://127.0.0.1:27777/?inj=%ORIGINAL%

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [RunInvalidSignatures]

データ： 01, 00, 00, 00

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [Security Antivirus]

データ： “SAb45b.exe” /s /d

HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF} [(既定)]

データ： Implements DocHostUIHandler

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [SAb45b.exe]

データ： SAb45b.exe:*:Enabled:Security Antivirus

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [SAb45b.exe]

データ： SAb45b.exe:*:Enabled:Security Antivirus

以下のレジストリキーが削除されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

以下のレジストリキーが改変されます。

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download [CheckExeSignatures]

データ： no

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch [Epoch]

データ： 2D, 00, 00, 00

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch [Epoch]

改変後のデータ： 2D, 00, 00, 00

以下のフォルダが作成されます。

c:\Documents and Settings\All Users\Application Data\b45b499

c:\Documents and Settings\All Users\Application Data\SABSNJCUYAV

c:\Documents and Settings\%user%\Application Data\Security Antivirus

以下のファイルがドロップ／ダウンロードされます。

c:\Documents and Settings\All Users\Application Data\b45b499\16.mof (サイズ： 334バイト)

c:\Documents and Settings\All Users\Application Data\b45b499\SAb45b.exe (サイズ： 2,467,840バイト)

c:\Documents and Settings\All Users\Application Data\b45b499\SAV.ico (サイズ： 4,286バイト)

c:\Documents and Settings\All Users\Application Data\b45b499\BackUp\Adobe Reader Speed Launch.lnk (サイズ： 1,757バイト)

c:\Documents and Settings\All Users\Application Data\b45b499\SAVSys\vd952342.bd (サイズ： 12,733バイト)

c:\Documents and Settings\All Users\Application Data\b45b499\SAVSys\VDAI.ntf (サイズ： 4,253バイト)

c:\Documents and Settings\All Users\Application Data\SABSNJCUYAV\SALYNUAV.cfg (サイズ： 21,677バイト)

c:\Documents and Settings\%user%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security Antivirus.lnk (サイズ： 1,795バイト)

c:\Documents and Settings\%user%\Application Data\Security Antivirus\Instructions.ini (サイズ： 1,177バイト)

c:\Documents and Settings\%user%\Desktop\Security Antivirus.lnk (サイズ： 1,777バイト)

c:\Documents and Settings\%user%\Local Settings\Temp\1.exe (サイズ： 188,928バイト)

c:\Documents and Settings\%user%\Start Menu\Security Antivirus.lnk (サイズ： 1,777バイト)

c:\Documents and Settings\%user%\Start Menu\Programs\Security Antivirus.lnk (サイズ： 1,783バイト)

さらに、ユーザのハードディスク割り知ってブの偽のスキャンを開始し、マシンがいくつかのマルウェアに感染していると偽ります。

FakeAlertは最小化して閉じることができますが、以下のようなポップアップメッセージをシステムトレイに表示し継続します。

hostsファイルが改変され、ユーザが以下のWebサイトにアクセスしようとすると、74.125.[削除] 67.215.240.[削除]にリダイレクトされます。

4-open-davinci.com

securitysoftwarepayments.com

privatesecuredpayments.com

secure.privatesecuredpayments.com

getantivirusplusnow.com

secure-plus-payments.com

www.getantivirusplusnow.com

www.secure-plus-payments.com

www.getavplusnow.com

safebrowsing-cache.google.com

urs.microsoft.com

www.securesoftwarebill.com

secure.paysecuresystem.com

paysoftbillsolution.com

protected.maxisoftwaremart.com

www.google.com

google.com

google.com.au

www.google.com.au

google.be

vwww.google.be

google.com.br

www.google.com.br

google.ca

www.google.ca

google.ch

www.google.ch

google.de

www.google.de

google.dk

www.google.dk

google.fr

www.google.fr

google.ie

www.google.ie

google.it

www.google.it

google.co.jp

www.google.co.jp

google.nl

www.google.nl

google.no

www.google.no

google.co.nz

www.google.co.nz

google.pl

www.google.pl

google.se

www.google.se

google.co.uk

www.google.co.uk

google.co.za

www.google.co.za

www.google-analytics.com

www.bing.com

search.yahoo.com

www.search.yahoo.com

uk.search.yahoo.com

ca.search.yahoo.com

de.search.yahoo.com

fr.search.yahoo.com

au.search.yahoo.com

ユーザがインターネットにアクセスしようとすると、FakeAlert-AVPSecはユーザが攻撃を浴びていると欺くメッセージを表示します。

以下のドメインにアクセスする割合があります。

Secure-fi[削除].in

Protecteds[削除].in

Save-se[削除].com

Your-securepa[削除].com

Safeanti[削除].net

以下の症状が見られる時、このウイルスに感染している割合があります。

システムがひどく感染しているかのような偽の警告を表示します。

レジストリを改変します。

ユーザをだまし、偽のウイルス対策ソフトウェアの購入を促します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを便秘気味て配布されます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,FakeAlert-AVPsec対策

PWS-OnlineGames.hh対策,

ウイルス情報ウイルス名リスク度PWS-OnlineGames.hh企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5906対応定義ファイル
(現在不可欠とされるパブジョン)5906　2010/02/28

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

PWS-OnlineGames.hhはLineage、LegMir、World of Warcraft、Rohanといったオンラインゲームのアカウントを泥棒出すトロイの木馬です。

ファイル情報：

MD5 - 644C03813C39414203A845102BE82214

SHA - F6DAA469D84D8BD29ED0A92EC0A5E4FB7743E568

ウイルスのめりはり

実行時、PWS-OnlineGames.hhはリモートポート80から202.111.[削除].157に接続します。

以下のファイルがシステムに追加されます。

%SystemDrive%\autorun.inf (隠しファイル)

%SystemDrive%\q1.exe (隠しファイル)

%Temp%\4tddfwq0.dll [PWS-OnlineGames.hhという名前で検出] (隠しファイル)

%Temp%\xvassdf.exe (隠しファイル)

%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\8WEL7ODI\ar1[1].rar

%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\I65VJICG\ar[1].rar

以下のレジストリキーがシステムに追加されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN

以下のレジストリ値がシステムに追加されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN\]
“Urlinfo” = %26quot;nmeqef.r%26quot;

以下のレジストリにより、PWS-OnlineGames.hhが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

[HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
“54dfsger” = %26quot;%Temp%\xvassdf.exe%26quot;

以下のレジストリ値が改変されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\]
%26quot;CheckedValue%26quot; = %26quot;0×00000000%26quot;

[HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
%26quot;Hidden%26quot; = %26quot;0×00000002%26quot;

上記のレジストリ項目により、乗っ取ったユーザがシステムの隠しファイル、フォルダを閲覧できないようにします。

[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされている割り知ってブで、通常はC:\]

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルおよびレジストリキーが存在します。

上記のIPアドレスへの予期しないネットワーク接続が存在します。

感染手立て

合格ワードスティーラはウイルスではなく、複製術も組み込まれていません。しかし、合格ワードスティーラが他のウイルスやトロイの木馬によってダウンロードされ、インストールされる時はあります。

さらに、これらの多くは作者によって大量発信され、人々にダブルクリックするように仕向けます。

また、Webページを訪問することによってインストールされる時もあります。

駆逐手立て

AVERTは、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆逐についての補足

,PWS-OnlineGames.hh対策

Invalid_Certificate対策,

ウイルス情報ウイルス名リスク度Invalid_Certificate企業ユーザ:
個人ユーザ: 類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)4131対応定義ファイル
(現在不可欠とされるパブジョン)4131　01/03/23

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

ウイルスのめりはり

デジタル セキュリティ認証サービスを提供しているセキュリティ会社VeriSignは、1月29昼間の時間と30昼間の時間にマイクロソフト販売代理店と偽って不正に認証申請した人物に対して、2つの認証を発行したことを公表しました。

これらの認証により、悪質なソフトウェアがマイクロソフトの認証を浴びたような形で配布される恐れがあります。

この”不正認証”を信用したユーザは、悪質なソフトウェアをインストールしてしまう割合があります。

EXTRA.DATファイルを使うと、不正なデジタル署名を検出することができます。検出された署名やソフトウェアの対処は、検出した人の決断に任されています。

詳細については、以下にアクセスしてくかっこ悪い。

http://www.microsoft.com/technet/security/bulletin/MS01-017.asp

http://www.microsoft.com/technet/support/kb.asp?ID=293817

http://www.verisign.com/developer/notice/authenticode/index.html

以下の症状が見られる時、このウイルスに感染している割合があります。

感染手立て

駆逐手立て

,Invalid_Certificate対策

W97M/Invade対策,

ウイルス情報ウイルス名リスク度W97M/Invade企業ユーザ:
個人ユーザ: 類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)4116対応定義ファイル
(現在不可欠とされるパブジョン)4116　01/01/10

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

ウイルスのめりはり

W97M/Invadeは、Word97/2000を対象とするトロイの木馬です。

このトロイの木馬は、他の文書やテンプレートには影響しません。

このトロイの木馬には、AutoOpenとAutoCloseの2つのモジュールが含まれています。

AutoOpenマクロは、すべてのWord文書およびテンプレートで[ツール｜マクロ]献立を非表示にします。

11月16～30昼間の時間または12月16～31昼間の時間の間に、このトロイの木馬本職グラムを閉じると、自身のテキストを次の文章で上書きします。

SATAN TE INVADE…!!!

Por maricon y maruja, por hablar mal de

tus hermanos sin ver tus defectos.

以下の症状が見られる時、このウイルスに感染している割合があります。

感染手立て

駆逐手立て

,W97M/Invade対策

Free-Scratch-Cards application対策,

ウイルス情報ウイルス名リスク度Free-Scratch-Cards application企業ユーザ: N/A
個人ユーザ: N/A類別本職グラム最小定義ファイル
(初っ端に検出を確認したパブジョン)対応定義ファイル
(現在不可欠とされるパブジョン)4255　03/03/27

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

Free-Scratch-Cards applicationは、「有害の割合のあるアプリケーション」です。ウイルスやトロイの木馬ではありませんが、金稼ぎができるといった本職グラムを装います。このアプリケーションは、WebサイトのActiveXコントロールによってインストールされます。このWebサイトの利用規約は明確で、本職グラムには以下の機能があります。

ユーザーのホームページ/検索ページの変更

Webブラウザにツールパブを追加

この本職グラムを自動アップデート、他社の本職グラムをダウンロード

お気に入りフォルダにブックマークを追加

Web閲覧中に宣伝を表示

既存のブラウザのツールパブを一番効化

本職グラムの作成者にブラウジング行動を報告

このアプリケーションは、%WinDir%\APPLICATION DATAディレクトリに以下のファイル名で自身をインストールします。

chajzsho.exe

drgldrstzoqush.exe

iquxust.lib

kwilldrbrfr.dll

以下のレジストリ実行キーを作成して起動時に自身を読み込みます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

Run “odrbrw” = C:\WINDOWS\APPLIC~1\chajzsho.exe -QuieT

以下のレジストリキーも作成します。

HKEY_CURRENT_USER\Software\ckmixibrglbrlw

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Backup

HKEY_CLASSES_ROOT\CLSID\{dfb98501-6070-11d7-bc91-00d009853834}

HKEY_CLASSES_ROOT\ovmrx.kjdrmbroxjlub

HKEY_CLASSES_ROOT\yzbsa.kjdrmbrj

HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\

Distribution Units\{ED3ADB6E-5AA9-41B0-9DDC-6F31A34552BE}\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

explorer\Browser Helper Objects\{dfb98500-6070-11d7-bc91-00d009853834}

デフォルトの検索ページをhttp://ecpm.com/searchbar.htmlに、スタートページをhttp://ecpm.comに設定します。WINDOWSの「お気に入り」フォルダに、以下のURLのショートカットを作成します。

Adult Entertainment.url

Gambling.url

Games.url

MP3 Music.url

News.url

Adult\Adult Chat.url

Adult\Amateur Photo.url

Adult\Asian Sex.url

Adult\Ebony.url

Adult\Fetish.url

Adult\Gay and Lesbian.url

Adult\Hardcore.url

Adult\Live Video Feeds.url

Adult\Matchmaking.url

Adult\XXX Cartoons.url

Business and Finance\B to B.url

Business and Finance\Banking.url

Business and Finance\Business.url

Business and Finance\Careers.url

Business and Finance\Credit Cards.url

Business and Finance\Finance.url

Business and Finance\Insurance.url

Business and Finance\Office.url

Business and Finance\Printing.url

Computers and Tech\Computer Games.url

Computers and Tech\Computer Stores.url

Computers and Tech\Dedicated Server.url

Computers and Tech\Domain Names.url

Computers and Tech\Hardware.url

Computers and Tech\Laptops.url

Computers and Tech\Software.url

Computers and Tech\Web Design.url

Computers and Tech\Web Hosting.url

Computers and Tech\Telecommunication\Mobile Phones.url

Computers and Tech\Telecommunication\Telecommunication.url

Computers and Tech\Telecommunication\Telephone.url

Computers and Tech\Telecommunication\Text SMS Messaging.url

Cool Stuff\Auction.url

Cool Stuff\Classifieds.url

Cool Stuff\Free Emails.url

Cool Stuff\Free Homepages.url

Cool Stuff\Free Services.url

Cool Stuff\School Essays and Homework.url

Cool Stuff\Services.url

Entertainment\Adult Entertainment.url

Entertainment\Automotive.url

Entertainment\DVD.url

Entertainment\Entertainment.url

Entertainment\Hot Games and Gaming.url

Entertainment\Mp3.url

Entertainment\Travel.url

Gambling\Black Jack.url

Gambling\Chips.url

Gambling\Craps.url

Gambling\Multi Player.url

Gambling\Online Casinos.url

Gambling\Poker.url

Gambling\Roulette.url

Gambling\Slots.url

Gambling\Sports Books.url

On Lifestyle\Art.url

On Lifestyle\Astrology.url

On Lifestyle\Books.url

On Lifestyle\Community.url

On Lifestyle\eBooks.url

On Lifestyle\Kids.url

On Lifestyle\Magazines.url

On Lifestyle\Matchmaking.url

On Lifestyle\Pets.url

On Lifestyle\Self Help.url

On Lifestyle\Wine.url

On Lifestyle\Women.url

On Lifestyle\Education\Education.url

On Lifestyle\Education\Training.url

On Lifestyle\Health and Beauty\Beauty.url

On Lifestyle\Health and Beauty\Health and Fitness.url

On Lifestyle\Health and Beauty\Pharmacy.url

On Lifestyle\Home and Garden\Construction.url

On Lifestyle\Home and Garden\Furniture.url

On Lifestyle\Home and Garden\Home and Garden.url

On Lifestyle\Home and Garden\Real Estate.url

On Lifestyle\Home and Garden\Utilities.url

Shopping and Gifts\Accessories.url

Shopping and Gifts\Apparel.url

Shopping and Gifts\Cards.url

Shopping and Gifts\Electronics.url

Shopping and Gifts\Flowers.url

Shopping and Gifts\Gifts.url

Shopping and Gifts\Jewlery.url

Shopping and Gifts\Retail Products.url

Shopping and Gifts\Shoes.url

Shopping and Gifts\Shopping.url

Shopping and Gifts\Toys.url

以下の症状が見られる時、このウイルスに感染している割合があります。

不明ですが、「有害の割合のあるアプリケーション」です。

感染手立て

不明です。

,Free-Scratch-Cards application対策