ウイルス情報

ウイルス名 危険度

Bredolab.gen.o

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5923
対応定義ファイル
(現在必要とされるバージョン)
5925 (現在7634)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2010/03/23
発見日(米国日付) 2010/01/18
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Bredolab.gen.oはFacebookからのZIP/RARファイルを装い、受信者にFacebookのパスワードをリセットするよう伝える新しい亜種です。

・Bredolab.gen.oは感染したシステムからパスワードを盗み出し、他のマルウェアをダウンロードできます。

TOPへ戻る

ウイルスの特徴

-- 2010年3月22日更新 --
・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。
http://www.theregister.co.uk/2010/03/18/facebook_password_reset/
--

・Bredolab.gen.oは送信されたスパムに添付されたRAR/ZIPファイルとして届きます。以下のようにFacebookからのメールを装います。

・ZIP/RARファイルにはトロイの木馬のファイルが組み込まれており、実行されると、svchost.exeプロセスに自身を挿入しようとします。

・さらに、以下のドメインに接続し、他のマルウェアをダウンロードします。

  • http://fun[削除].ru
ダウンロードされるマルウェアとその関連ファイルは亜種によって異なります。

・Bredolab.gen.oは最新のウイルス定義ファイルで「Spy-Agent.br.dll」という名前で検出されるDLLコンポーネントをドロップ(作成)します。

・このDLLコンポーネントがドロップされる場所は以下のとおりです。

  • %Temp%\6.tmp
  • %System%\nnfj.tqo

・%Temp%はテンポラリフォルダを指す変数です。デフォルトではC:\Documents and Settings\[ユーザ名]\Local Settings\Temp\(Windows NT/2000/XP)になります。

・%System%はシステムフォルダを指す変数です。デフォルトではC:\Windows\System(Windows 95/98/Me)、C:\Winnt\System32(Windows NT/2000)、C:\Windows\System32(Windows XP)になります。

・また、ユーザがログインするたびにBredolab.gen.oが動作するよう、以下のレジストリキーが作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" =Explorer.exe rundll32.exe nnfj.tqo nhemkk

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

* Bredolab.gen.oがプロセスリストで動作中です。
* 上記のファイルおよびレジストリ項目が存在します。
* ネットワーク活動が見られます。

TOPへ戻る

感染方法

・トロイの木馬はウイルスではなく、複製手段も組み込まれていません。しかし、トロイの木馬が他のウイルスやトロイの木馬によってダウンロードされ、インストールされる場合はあります。また、Webページを訪問することによって(リンクをクリック、またはマルウェアをインストールするスクリプトをホストしているWebサイトによって)インストールされる場合もあります。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る