ウイルス情報

ウイルス名 危険度

Friend Greeting application (II)

企業ユーザ: N/A
個人ユーザ: N/A
種別 プログラム
最小定義ファイル
(最初に検出を確認したバージョン)
4233
対応定義ファイル
(現在必要とされるバージョン)
4233 (現在7633)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 WORM_FRIENDGRT.B (Trend)
情報掲載日 02/11/11
発見日(米国日付) 02/11/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

2002年11月22日更新情報
AVERT は Friend Greeting application によってインストールされるコンポーネントをトロイの木馬として分類し直し、Friend Greeting application インストーラをトロイの木馬ドロッパとして検出するようにしました。詳しくはこちらの Hide Minimized trojan を参照下さい。

  • このプログラムは、ユーザにインストーラをダウンロードするように要求し、web サイトに接続するリンクをすべての Microsoft Outlook の宛先に送信することに同意するよう求めるため、ウイルスとはみなされません。ただし、定義ファイル 4233 でコマンド ライン スキャナを使用すると、アプリケーションを検出することができます。詳細に関しては、駆除方法を参照してください。
  • このアプリケーションは、www.friend-greetings.com という web サイトの特定の web ページを訪問すると起動します。このページへのリンクは、以下のような電子メール メッセージで配信されます。このページをロードすると、ユーザはインストーラ パッケージをダウンロードして起動するように要求されます。

  • YES を選択すると、WISE インストーラ パッケージがダウンロードされ、起動します。

  • ユーザは 2 つのエンド ユーザ ライセンス アグリーメント(End User License Agreements(EULA))に承諾するように要求されます。最初のアグリーメントを承諾しないと、インストーラは終了します。2 番目の EULA には、以下のような記述があります。

  • この同意文に承諾しないと、大量メール送信のルーティングを実行せずにプログラムがインストールされます。
  • この同意文に承諾すると、プログラムは Outlook アドレス帳にあるすべてのユーザに以下の電子メール メッセージを配信します。
    件名%Recipient% you have an E-Card from %Sender%.
    本文%Recipient%,

    %sender% has sent you an greeting card -- a postcard from Friend-Greetings.com. You can pickup your greeting card at Friend-Greetings.com by clicking on the link below.

    http://www.friend-greeting.com/%number%/pickup.html?code=%name%&id=%number%

    Message:
    ------------------------------------------------------------------------
    %Recipient%,
    I sent you a greeting card - please pick it up.
    %Sender%
    ------------------------------------------------------------------------

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

  • Windows の [コントロールパネル] → [アプリケーションの追加と削除] を使用することによって、Friend Greetings アプリケーションを WinSrv Reg アプリケーションと同じように削除します。

  • このアプリケーションは、TAFW.EXE という実行形式ファイルを作成します。これが、大量メール送信を行ないます。メール送信の前に、\Program Files\Common Files (%ProgDir%\Common files) フォルダに AS.INI が存在するかどうかを調べます。すでに存在すれば、メール送信は行ないません。無ければメールを送信し、あとで 0 バイトの AS.INI を作成します。このアプリケーションによる大量メール送信の脅威を防ぐ為に、\PROGRAM FILES\COMMON FILES\AS.INI を作成することが望ましいかもしれません。

  • 対応エンジンを使用して、command line scanner で /PROGRAM /CLEAN スイッチをONにすると検出することが出来ます。最新の定義ファイルを使用することで削除できます。

    1. 最新の定義ファイルをダウンロードして、インストールする。
    2. [スタート] → [ファイル名を指定して実行] で ”COMMAND” を入力して、ENTERを押す。
    3. c:\progra~1\common~1\networ~1\viruss~1\4.0.xx\scan.exe c: /program /clean を入力して、ENTERを押す。

  • 管理者はこのアプリケーションに関連する下記のサイトについてもブロックを検討した方が良いかもしれません。

    • www.friendgreetings.com
    • www.friendgreetings.net
    • www.friend-greetings.com
    • www.friend-greetings.net
    • www.friend-greeting.com
    • www.friend-cards.net
    • www.friend-cards.com
    • www.friend-card.com
    • www.friend-card.net
    • www.cool-downloads.net
    • www.cool-downloads.com
    • www.laugh-mail.com
    • www.laugh-mail.net
    • 65.240.226.248
    • 64.191.7.4
    • www.hkg3.com
    • pv1.us-downloads.com
    • 207.21.232.104
    • net-downloads.com
    • 65.240.226.241
    • 64.191.7.5

TOPへ戻る