WinSKC対策,

ウイルス情報ウイルス情報

ウイルス名WinSKC
類別ウイルスファイルサイズ低最小定義ファイル
(初っ端に検出を確認したパブジョン)4062対応定義ファイル
(現在不可欠とされるパブジョン)4062 00/01/06

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

*用心:この解説の作成場合点では、AVERTに3件の打撃届がはみ出しています。*

これはトロイの木馬であり、ハッカーがダイアルアップのアカウントから、まず「スパムメール」で配布します。このファイルは”SETUP.EXE”という名前で、電坊主メールに添付されます。電坊主メールの本文自体がたいそうつたないな英語で書かれているため、このメッセージを読んで実際に実行する人はほとんどいません。電坊主メールは以下のフォーマットで書かれています。
トロイの木馬
差出人: webmaster@hypermart.net

件名: Y2K an FTP Clients Update of Hypermart Administration

In cause Y2K yours FTP clients can work incorrect with our server .In the letter we are

give you update for your system. You need to start file setup.exe,that include in the

letter.

「差出人」のアドレスは偽造されたものです。添付ファイルをマニュアルあるいは電坊主メールアプリケーションの設定によって実行すると、偽のエラーメッセージが表示されます。

Sorry

[x]

Please download and install new version of OLE32.dll from http://www.microsoft.com

[OK]

OKボタンをクリックすると、以下の2つのファイルがシステムに書き込まれます。

c:\WINDOWS\TEMP\Ole.exe

c:\WINDOWS\windown.exe

次回のWindows起動場合に、ShellアプリケーションのExplorer.exeへのセカンダリロードファイルとしてWINDOWN.EXEファイルをロードするよう、SYSTEM.INIが改変されます。

[boot]

Explorer=Explorer C:\WINDOWS\WINDOWN.EXE

このトロイの木馬をロードするための補足的な手立てとして、ICQの起動場合にこのファイルをロードするよう、レジストリキーが改変されます。

HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\Run\ Path=”C:\WINDOWS\WINDOWN.EXE”

このレジストリキーから、このファイルは合格ワードをくすねるトロイの木馬、あるいはキーのログファイルであると思われます。AVERTがWindows 98システムで試験したところ、WINDOWN.EXEファイルはMSVCRT.DLLに不正な妨げを引き起こしました。同様にその他の環境界でも、現在調査中です。

,WinSKC対策