ウイルス情報

ウイルス名 危険度

Downloader-EV

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4300
対応定義ファイル
(現在必要とされるバージョン)
4301 (現在7652)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 Trojan.DownLoader (Dialogue Science)
情報掲載日 03/10/31
発見日(米国日付) 03/10/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・Downloader-EVは、ダウンロード/アップデートコンポーネントとして機能するファイルです。

・Downloader-EVがターゲットマシンで実行されると、ランダムな4文字のファイル名でapplication dataフォルダに自身をインストールします。

例:

  • C:\WINDOWS\APPLICATION DATA\ESCN.EXE
  • C:\DOCUMENTS AND SETTINGS\USERNAME\APPLICATION DATA\CSRR.EXE

・上記のファイルのサイズは、67,592バイトです。

・以下のレジストリキーを追加して、次回のシステムの起動時にインストールしたファイルを実行します(キーで使用される文字列のファイル名は、それぞれ異なります)。

例:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "Otss" = C:\WINDOWS\ESCN.EXE

・Downloader-EVが実行されると、(DNSリクエストで検索した)リモートサーバに接続を試みます。次に、サーバにHTTP GETリクエストを送信して、以下の情報をサーバに伝えます。

  • インストール、アップデート、または警告
  • バージョンの詳細
  • メッセージ

・Downloader-EVが最初にマシンで実行された時のリクエストは、インストール要求です。リモートサーバに接続できないと、そのリクエストはリモートサーバにコンテンツの確認を求める警告になります。

・ダウンロードされる(おそらくインストールされる)アプリケーションについては調査中です。調査終了後、説明を更新します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・予期しないインターネットアクティビティを実行します。例えば、www.clickspring.netへの接続を試みます。

・上記のファイルとレジストリキーが存在します。

TOPへ戻る

感染方法

・Downloader-EVはダウンロード/アップデートコンポーネントで、リモートサーバからデータを読み出します。AVERTでは、インストールされるアプリケーションについて現在分析中です。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る