McAfee for Small Businesses

ウイルス名 危険度 W32/Ertfor.gen 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 5753 対応定義ファイル (現在必要とされるバージョン) 6177　（現在7077) 対応エンジン 5.4.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 AVG - Dropper.Generic2.BLWV.dropper Kaspersky - Trojan-Downloader.Win32.Suurch.byp Microsoft - Trojan:Win32/Ertfor.A Symantec - Suspicious.IRCBot 情報掲載日 2010/11/29 発見日（米国日付） 2009/09/26 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/15 ZeroAccess!5... 05/15 VBS/LoveLett... 05/15 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7077  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・「W32/Ertfor.gen」はBrowser Helper Object（BHO）として動作し、検索の問い合わせを乗っ取って攻撃者に送信します。 ・リモートポート80から「acro[削除].com」に接続し、悪質なファイルをダウンロードします。 ・実行時、以下のファイルをシステムにドロップ（作成）し、自身を削除します。 %WinDir%\system32\hrzzsjer.dll %WinDir%\system32\m3sg6woqa.dll %WinDir%\cmd.exe %WinDir%\svchost.exe %WinDir%\mdm.exe %Temp%\if5eusp.exe %Temp%\login.exe %Temp%\ezc1p0are.exe %Temp%\d1pfs1ku2x.exe %Temp%\hse87ejdjfhiw3dfdfd.tmp %Temp%\osjfs873wuhd.tmp %Temp%\sdkik3fsiedfahfyg.tmp %Temp%\yawghd72y7huhd.tmp ・以下のレジストリキーがシステムに追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6BA40C1-A501-59BD-F413-03B03A2C8952} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6BA40C1-A501-59BD-F413-03B03A2C8952}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B6BA40C1-A501-59BD-F413-03B03A2C8952} HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B6BA40C1-A501-59BD-F413-03B03A2C8952} HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B6BA40C1-A501-59BD-F413-03B03A2C8952}\iexplore HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System ・以下のレジストリキーが削除されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C} ・以下のレジストリ値が削除されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\: "scriptproxy" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\: "JQSIEStartDetectorImpl" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\ NoExplorer = 0x00000001 ・以下の値が追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6BA40C1-A501-59BD-F413-03B03A2C8952}\InProcServer32\ = "%WinDir%\system32\m3sg6woqa.dll" ThreadingModel = "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6BA40C1-A501-59BD-F413-03B03A2C8952}\ = "%WinDir%\system32\m3sg6woqa.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6BA40C1-A501-59BD-F413-03B03A2C8952}\ ThreadingModel = "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{B6BA40C1-A501-59BD-F413-03B03A2C8952} = "dfskea98e4iagjiufhg87df87u" ・以下のレジストリ項目により、システムの復元機能を無効にします。 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\ DisableSR = 0x00000001 HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\ WINID = "1CB8DB7805D88FA" UserID = "1CB8DB785BF982E" Idstrf = "1-1CB8DB798A51B80" HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B6BA40C1-A501-59BD-F413-03B03A2C8952}\iexplore\ Type = 0x00000003 Count = 0x00000001 Time = ・以下のレジストリキーの値を改変して、乗っ取ったユーザがシステムファイル、隠しフォルダを表示できないようにします。 HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ NoFolderOptions = 0x00000001 ・以下のレジストリ項目を追加して、レジストリツール（regedit.exe）を無効にします。 HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System\ DisableRegistryTools = 0x00000001 ・上記のレジストリ項目により、Windowsが起動するたびにW32/Ertfor.genが動作するようにします。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ uPc+MV0NsvcCxl = "rundll32.exe %WinDir%\system32\hrzzsjer.dll, SystemServer" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ MKcZ = "%WinDir%\mdm.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ MKese = "%WinDir%\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ HNUieHXlna = "%Temp%\login.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ MKaZ = "%WinDir% \cmd.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ HNUieHXlnMa = "%Temp%\ezc1p0are.exe" HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\ uPc+MV0NsvcCxl = "rundll32.exe %WinDir%\system32\hrzzsjer.dll, SystemServer" HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\ MKcZ = "%WinDir%\mdm.exe" HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\ MKese = "%WinDir%\svchost.exe" HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\ HNUieHXlna = "%Temp%\login.exe" HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\ MKaZ = "%WinDir%\cmd.exe" HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\ HNUieHXlnMa = "%Temp%\ezc1p0are.exe" [注： %WinDir% - C:\WINDOWS, %Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp] 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のファイルおよびレジストリ項目が存在します。 また、以下のサイトに接続します。 nupi[削除].com [削除].leaseweb.com 123.100.[削除] 95.211.[削除] way[削除].com persona[削除].com 感染方法 TOPへ戻る ・ウイルスは自己複製します。多くの場合、ネットワーク、またはリムーバブルディスク、書き込み可能なCD、USBドライブなどのリムーバブルメディアへの送信によって拡散されます。また、ネットワークファイルシステム、他のコンピュータと共有されているファイルシステムのファイルに感染して、拡散する可能性があります。 駆除方法 TOPへ戻る 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。 システムリストアを無効にしてください。(Windows ME/XPのみ) 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。 Complete system scanを実行してください。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。