製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:D
ウイルス情報
ウイルス名危険度
Downloader-BN.b
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4273
対応定義ファイル
(現在必要とされるバージョン)
4273 (現在7495)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名TrojanDownloader:Win32/Zasil (GeCAD)
情報掲載日03/06/26
発見日(米国日付)03/06/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--2003年6月25日更新情報

・Downloader-BN.bは、以下のメディアの注目を集めたため、危険度を“低〔要注意〕”にしました。

http://silicon.com/news/500013/1/4853.html

・Downloader-BN.bはトロイの木馬で、Microsoftからの最新のパッチを装い、以下のメッセージ形式でスパムメールが大量に送信されたとみられています。

[spam] IMPORTANT!! Critical security hole in Windows!

・このメッセージにあるURLは、公式なMicrosoftのサイトではなく、閲覧すると、トロイの木馬型ダウンローダのDownloader-BN.b(ファイル名:UPDATE0932.EXE)がダウンロードされます。

・このトロイの木馬は、REGSVS32.EXEというファイル名で%Windir%フォルダに自身をコピーします。

・このファイルをダウンロードしたInternet Explorerの多数のインスタンスが表示され、その結果マシンが停止します。

・UPDATE0932.EXEはリモートサーバからrq.txtという名前のテキストファイルを検索する、トロイの木馬型ダウンローダです。このテキストファイルは、別のリモートファイルへのパスを含んでいます(注:ハッカーはこのパスをいつでも改変できます)。このリモートファイルをダウンロードし、実行します。

・RQ.TXTのコンテンツは異なるため、ダウンロードされるファイルを正確に予測できません。この情報掲載時点では、少なくとも2つのバイナリが、RQ.TXTで参照されました。

  • WINPWR32.EXE - 定義ファイル4273以降で、RC/Flood.co.drとして検出
  • SVSGHOST.EXE - 定義ファイル4258以降で、IRC/Sdbotとして検出

・このトロイの木馬型ダウンローダは、以下のレジストリキーのいずれか1つを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "Regsvs Services"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    Explorer\Run "0"

・インストールされたトロイの木馬を指示するように設定します。

  • %WinDir%\REGSVS32.EXE (12,800バイト)

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・レジストリエディタの一般的なアイコンを持つREGSVS32.EXEファイルがWindowsディレクトリに存在します。

・Downloader-BN.bはリモートファイルを使用するので、感染の影響も異なります。

感染方法TOPへ戻る
・このトロイの木馬はリモートのWebサイトに接続して、テキストファイルを検索します。テキストファイルは、ダウンロードするリモートファイルを指定するURLを含んでいます。

駆除方法TOPへ戻る

  • 手動駆除方法
    • 上記のレジストリキーを削除して下さい。
      レジストリキー値削除方法についてはこちら
    • コンピュータを再起動して下さい。
    • 上記のファイルを削除して下さい。

Windows ME/XPでの駆除についての補足