McAfee for Small Businesses

ウイルス名 危険度 Bredolab!a 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5841 対応定義ファイル (現在必要とされるバージョン) 5875　（現在7109) 対応エンジン 5.2.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Kaspersky : Trojan-Downloader.Win32.Piker.brn Symantec :Trojan.Bredolab Microsoft : TrojanDownloader:Win32/Bredolab.AB AhnLab : Win-Trojan/Bredolab.39936.Q 情報掲載日 2010/01/29 発見日（米国日付） 2009/12/23 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 06/17 RDN/Sdbot.bf... 06/17 VBS/LoveLett... 06/17 Generic Qhos... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7109  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・実行時、以下の場所に自身をコピーします。 %Temp%\ ~TM7.tmp %Programs%\Startup\rarype32.exe ・さらに、以下の悪質なファイルをダウンロードします。 %SysDir%\config\systemprofile\reader_s.exe [PWS-Zbot.gen.adという名前で検出] %SysDir%\41.exe %SysDir%\helper32.dll %SysDir%\IS15.exe %SysDir%\reader_s.exe [PWS-Zbot.gen.adという名前で検出] %SysDir%\smss32.exe [トロイの木馬] %SysDir%\warning.html [Generic FakeAlert!htmという名前で検出] %SysDir%\winlogon32.exe [トロイの木馬] %Temp%\~TM10.tmp [トロイの木馬] ・以下のレジストリキーがシステムに追加されます。 HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Policies\System ・以下のレジストリ値がシステムに追加されます。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\] "NoChangingWallpaper"= 0x00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\] "NoSetActiveDesktop"= 0x00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\] "NoActiveDesktopChanges"= 0x00000001 [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\] "NoSetActiveDesktop"= 0x00000001 [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\] "NoActiveDesktopChanges"= 0x00000001 [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\] "NoChangingWallpaper"= 0x00000001 [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\] "DisableTaskMgr"= 0x00000001 ・上記のレジストリ項目により、タスクマネージャを無効にし、壁紙を変更できないようにします。また、スタートメニューの設定からアクティブデスクトップオプションを削除します。 ・Windowsが起動するたびに自身を実行するRUN項目を登録します。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] "reader_s"= "%SysDir%\reader_s.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] "smss32.exe"= "%SysDir%\smss32.exe" [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run\] "reader_s"= "%SysDir%\config\systemprofile\reader_s.exe"The following registry value has been modified [HKEY_USERS\S-1-5-21-1454471165-926492609-839522115-500\Software\Microsoft\Internet Explorer\Desktop\] "General\Wallpaper"= "%SystemRoot%\system32\warning.html" ・上記のレジストリ項目により、壁紙を変更し、「your system is infected」（システムが感染しました）という偽の警告を表示します。 ・Bredolab!aが実行されると、以下のサイトに接続します。 "dollardr[削除]m.ru" "download[削除]r50.com" ・ユーザのシステムが乗っ取られると、さまざまな偽のセキュリティアラートとバルーンヒントを表示します。また、偽のマルウェア対策ソフトウェア（Internet Security 2010）をダウンロードし、システムが感染していると警告し、乗っ取ったユーザに偽のマルウェア対策ソフトウェアを購入させようとします。 [%Temp%はテンポラリフォルダ、%Programs%はC:\Documents and Settings\[ユーザ名]\Start Menu\Programs、%SysDir%は\WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) ] 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のファイルおよびレジストリが存在します。 上記のサイトへの予期しないネットワーク接続が存在します。 感染方法 TOPへ戻る ・Bredolab!aは悪質なWebページにアクセスするとインストールされます。また、他のウイルスやトロイの木馬によってダウンロードされ、インストールされる可能性もあります。 ・さらに、インターネットからダウンロードしたバンドルソフトと一緒にインストールされる可能性があります。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足