ウイルス情報

ウイルス名 危険度

Friend Greeting application (IV)

企業ユーザ: N/A
個人ユーザ: N/A
種別 プログラム
最小定義ファイル
(最初に検出を確認したバージョン)
4231
対応定義ファイル
(現在必要とされるバージョン)
4231 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 02/11/25
発見日(米国日付) 02/11/21
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

2002年11月22日更新情報
AVERT では、Friend Greeting アプリケーションでインストールされるコンポーネントをトロイの木馬として分類し直し、トロイの木馬のドロッパとして検出するようにしました。詳しくは、 Hide Minimized trojan をご参照下さい。

  • Friend Greeting application (IV) は、ユーザにインストーラをダウンロードするよう要求し、Web サイトへのリンクを記載した電子メールを Microsoft Outlook にあるすべての宛先に送信する許可を求めますので、ウイルスとは見なされません。しかし、定義ファイル 4231 でコマンドラインスキャナを使用すると、このアプリケーションは検出されます。詳細については駆除方法をご覧下さい。
  • このアプリケーションは、Web サイト 64.191.7.4 上の特定の Web ページを閲覧すると起動します。この Web ページへのリンクは、次のような電子メールメッセージで届きます。この Web ページが読み込まれると、ユーザはインストーラパッケージをダウンロードし、実行するよう指示されます。

  • “YES” を選択すると、WISE インストーラパッケージをダウンロードし、実行します。

  • ユーザは、エンドユーザライセンスアグリーメント(EULA)に、2度同意するよう求められます。最初のアグリーメントに同意しないと、インストーラは終了します。2番目の EULA は次のとおりです。

  • 2番目のアグリーメントに同意しないと、大量メール送信ルーチンは実行されずに、プログラムがインストールされます。同意した場合は、Outlook Address 帳にあるすべてのユーザに次の電子メールメッセージを送信します。
    件名%Sender% sent you a greeting - %Recipient%
    本文%Recipient%,

    %Sender% just mailed you a postcard.

    Retrieve your e-card by clicking this link;

    http://www.Friend-Card.com/%number%/pickup.aspx?code=%name%&id=%number%

    Comment-
    %Recipient%,
    Go get the greeting just sent.
    %Sender%

    又は

    件名%Recipient% you received a postcard sent by %Sender%
    本文%Recipient%,

    %Sender% has just created you an ecard greeting.

    Pickup your greeting by going here.

    http://www.FriendGreeting.com/%number%/pickup.aspx?code=%name%&id=%number%

    Note,
    %Recipient%,
    Get the postcard recently emailed.
    %Sender%

    注:電子メールメッセージのハイパーリンクは、Friend-Card.com 又は FriendGreeting.com のページではなく、“64.191.7.4” ページを指定しています。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

  • Windows の [コントロールパネル] → [アプリケーションの追加と削除] を使用することによって、Friend Greetings アプリケーションを WinSrv Reg アプリケーションと同じように削除します。

  • このアプリケーションは、TAFW.EXE という実行形式ファイルを作成します。これが、大量メール送信を行ないます。メール送信の前に、\Program Files\Common Files (%ProgDir%\Common files) フォルダに AS.INI が存在するかどうかを調べます。すでに存在すれば、メール送信は行ないません。無ければメールを送信し、あとで 0 バイトの AS.INI を作成します。このアプリケーションによる大量メール送信の脅威を防ぐ為に、\PROGRAM FILES\COMMON FILES\AS.INI を作成することが望ましいかもしれません。

  • 対応エンジンを使用して、command line scanner で /PROGRAM /CLEAN スイッチをONにすると検出することが出来ます。最新の定義ファイルを使用することで削除できます。

    1. 最新の定義ファイルをダウンロードして、インストールする。
    2. [スタート] → [ファイル名を指定して実行] で ”COMMAND” を入力して、ENTERを押す。
    3. c:\progra~1\common~1\networ~1\viruss~1\4.0.xx\scan.exe c: /program /clean を入力して、ENTERを押す。

  • 管理者はこのアプリケーションに関連する下記のサイトについてもブロックを検討した方が良いかもしれません。

    • www.friendgreetings.com
    • www.friendgreetings.net
    • www.friend-greetings.com
    • www.friend-greetings.net
    • www.friend-greeting.com
    • www.friend-cards.net
    • www.friend-cards.com
    • www.friend-card.com
    • www.friend-card.net
    • www.cool-downloads.net
    • www.cool-downloads.com
    • www.laugh-mail.com
    • www.laugh-mail.net
    • 65.240.226.248
    • 64.191.7.4
    • www.hkg3.com
    • pv1.us-downloads.com
    • 207.21.232.104
    • net-downloads.com
    • 65.240.226.241
    • 64.191.7.5

TOPへ戻る