FFSearcher | ウイルス情報

製品情報

導入事例

-	最新ウイルス一覧
-	ウイルス検索
-	駆除ツール
-	主要ウイルスナビゲータ
-	Daily DATリリースに関するFAQ
-	ウイルス絵とき理解
-	ウイルス画像事典
-	ウイルス解析依頼
-	ウイルス用語集
-	ウイルスの危険度格付け
-	セキュリティ対策のヒント
-	無料セキュリティ情報サービス

Home → セキュリティ情報 → ウイルス情報：F

ウイルス情報

ウイルス名

危険度

FFSearcher

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]

種別	トロイの木馬
最小定義ファイル (最初に検出を確認したバージョン)	5665
対応定義ファイル (現在必要とされるバージョン)	5665　（現在7080)
対応エンジン	5.3.00以降　(現在5.4.00)　エンジンバージョンの見分け方
情報掲載日	2009/07/07
発見日（米国日付）	2009/07/02
駆除補足	ウイルス駆除のヒント


	最新ウイルス

05/20	RDN/Generic....
05/20	RDN/Generic ...
05/20	RDN/Generic....

		定義ファイル・エンジンのダウンロード!
	定義ファイル：7080 エンジン：5.4.00

		ウイルス検索

概要

TOPに戻る

-- 2009年7月3日更新 --

・以下のWebサイトで注目されたため、危険度を[低（要注意）]に変更しました。

http://www.theregister.co.uk/2009/07/01/stealthy_click_fraud_malware/

・FFSearcherはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC（インターネットリレーチャット）、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴 TOPに戻る

・実行時、FFSearcherは以下のdllをドロップ（作成）し、svchost.exeに挿入します。

%system%\netcfgx.dll:Zone.Identifier

・また、以下のファイルをドロップし、システムドライバとしてロードします。ロード後、これら2つのファイルを削除します。

%windows%\win32k.sys:1

%windows%\win32k.sys:2

・その後、最初のドロッパを削除します。

・以下のレジストリ値を改変し、Windows起動時にdllがロードされるようにします。

HKEY_CLASSES_ROOT\CLSID\{5B035261-40F9-11D1-AAEC-00805FC1270E}\InProcServer32 "(既定)"=%system%\netcfgx.dll:Zone.Identifier

・wxtr812.comにアクセスして構成情報を入手し、データを以下のファイルに保存します。

%Documents and Settings%\All Users\Documents\gifnoc.xtx

・さらに、Webブラウザを監視し、Googleでの検索を構成ファイルにあるサイトにリダイレクトしようとします。

以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る

上記のファイルおよびレジストリ値が存在します。

上記のアドレスへの接続が存在します。

感染方法 TOPへ戻る

・報告によれば、FFSearcherは乗っ取られたWebサイトの脆弱性の利用によりダウンロードされます。

駆除方法 TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。システムを再起動し、修復を完了してください。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。以前のエンジンでは「FFSearcher」によって作成されたすべてのレジストリキーを駆除できるとは限りません。
Windows ME/XPでの駆除についての補足

McAfee for Small Businesses

Navigation

Utility Navigation

-- 2009年7月3日更新 --

Footer