ウイルス情報

ウイルス名 危険度

Downloader-BN.b

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4273
対応定義ファイル
(現在必要とされるバージョン)
4273 (現在7652)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 TrojanDownloader:Win32/Zasil (GeCAD)
情報掲載日 03/06/26
発見日(米国日付) 03/06/25
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

--2003年6月25日更新情報

・Downloader-BN.bは、以下のメディアの注目を集めたため、危険度を“低〔要注意〕”にしました。

http://silicon.com/news/500013/1/4853.html

・Downloader-BN.bはトロイの木馬で、Microsoftからの最新のパッチを装い、以下のメッセージ形式でスパムメールが大量に送信されたとみられています。

[spam] IMPORTANT!! Critical security hole in Windows!

・このメッセージにあるURLは、公式なMicrosoftのサイトではなく、閲覧すると、トロイの木馬型ダウンローダのDownloader-BN.b(ファイル名:UPDATE0932.EXE)がダウンロードされます。

・このトロイの木馬は、REGSVS32.EXEというファイル名で%Windir%フォルダに自身をコピーします。

・このファイルをダウンロードしたInternet Explorerの多数のインスタンスが表示され、その結果マシンが停止します。

・UPDATE0932.EXEはリモートサーバからrq.txtという名前のテキストファイルを検索する、トロイの木馬型ダウンローダです。このテキストファイルは、別のリモートファイルへのパスを含んでいます(注:ハッカーはこのパスをいつでも改変できます)。このリモートファイルをダウンロードし、実行します。

・RQ.TXTのコンテンツは異なるため、ダウンロードされるファイルを正確に予測できません。この情報掲載時点では、少なくとも2つのバイナリが、RQ.TXTで参照されました。

  • WINPWR32.EXE - 定義ファイル4273以降で、RC/Flood.co.drとして検出
  • SVSGHOST.EXE - 定義ファイル4258以降で、IRC/Sdbotとして検出

・このトロイの木馬型ダウンローダは、以下のレジストリキーのいずれか1つを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "Regsvs Services"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    Explorer\Run "0"

・インストールされたトロイの木馬を指示するように設定します。

  • %WinDir%\REGSVS32.EXE (12,800バイト)

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・レジストリエディタの一般的なアイコンを持つREGSVS32.EXEファイルがWindowsディレクトリに存在します。

・Downloader-BN.bはリモートファイルを使用するので、感染の影響も異なります。

TOPへ戻る

感染方法

・このトロイの木馬はリモートのWebサイトに接続して、テキストファイルを検索します。テキストファイルは、ダウンロードするリモートファイルを指定するURLを含んでいます。

TOPへ戻る

駆除方法

  • 手動駆除方法
    • 上記のレジストリキーを削除して下さい。
      レジストリキー値削除方法についてはこちら
    • コンピュータを再起動して下さい。
    • 上記のファイルを削除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る