ウイルス情報

ウイルス名 危険度

GPCoder.i

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5313
対応定義ファイル
(現在必要とされるバージョン)
5313 (現在7627)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Troj/Gpcode-D (Sophos)
Trojan.Gpcoder.F (Symantec)
Trojan:Win32/Gpcode.G (Microsoft)
Virus.Win32.Gpcode.ak (Kaspersky)
情報掲載日 2008/06/10
発見日(米国日付) 2008/06/09
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

-- 2008年6月9日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://blogs.zdnet.com/security/?p=1251

--

・GPCoder.iは、ターゲットのPCのファイルを暗号化し、作者の連絡先が書かれた、代価を要求するメモをドロップ(作成)するトロイの木馬です。ターゲットに対し、暗号化されたファイルを元に戻す解読ツールを入手するため、金を支払うよう要求します。

TOPへ戻る

ウイルスの特徴

-- 2008年6月9日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://blogs.zdnet.com/security/?p=1251

--

・GPCoder.iは、ターゲットのPCのファイルを暗号化し、作者の連絡先が書かれた、代価を要求するメモをドロップ(作成)するトロイの木馬です。ターゲットに対し、暗号化されたファイルを元に戻す解読ツールを入手するため、金を支払うよう要求します。

・GPCocer.iが動作すると、以下の拡張子を使用しているファイルを検索して暗号化します。

    * 7z
    * abk
    * abd
    * acad
    * arh
    * arj
    * ace
    * arx
    * asm
    * bz
    * bz2
    * bak
    * bcb
    * c
    * cc
    * cdb
    * cdw
    * cdr
    * cer
    * cgi
    * chm
    * cnt
    * cpp
    * css
    * csv
    * db
    * db1
    * db2
    * db3
    * db4
    * dba
    * dbb
    * dbc
    * dbd
    * dbe
    * dbf
    * dbt
    * dbm
    * dbo
    * dbq
    * dbt
    * dbx
    * djvu
    * doc
    * dok
    * dpr
    * dwg
    * dxf
    * ebd
    * eml
    * eni
    * ert
    * fax
    * flb
    * frm
    * frt
    * frx
    * frg
    * gtd
    * gz
    * gzip
    * gfd
    * gfa
    * gfr
    * h
    * inc
    * igs
    * iges
    * jar
    * jad
    * java
    * jpg
    * jpeg
    * jpe
    * jfif
    * js
    * jsp
    * hpp
    * htm
    * html
    * key
    * kwm
    * ldif
    * lst
    * lsp
    * lzh
    * lzw
    * ldr
    * man
    * mdb
    * mht
    * mmf
    * mns
    * mnb
    * mnu
    * mo
    * msb
    * msg
    * mxl
    * old
    * p12
    * pak
    * pas
    * pdf
    * pem
    * pfx
    * php
    * php3
    * php4
    * pgp
    * pl
    * prf
    * prx
    * pst
    * pw
    * pwa
    * pwl
    * pwm
    * pm3
    * pm4
    * pm5
    * pm6
    * rar
    * rmr
    * rnd
    * rtf
    * safe
    * sar
    * sig
    * sql
    * tar
    * tbb
    * tbk
    * tdf
    * tgz
    * tbb
    * txt
    * uue
    * vb
    * vcf
    * wab
    * xls
    * xml

・上記の拡張子を持つファイルが暗号化され、以下のテキストを含む!_READ_ME_!.txtという名前のテキストファイルがディレクトリに格納されます。

Some files are coded.
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: d {削除} @yahoo.com

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

- ファイルが「意味のない文字」(暗号化されたデータ)で上書きされています。
- 上記の!_READ_ME_!.txtのファイルが存在します。
- 以下のタイトルを持つメッセージボックスが表示されます。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足

TOPへ戻る