製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:G
ウイルス情報
ウイルス名危険度
Generic.dx!slf
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5969
対応定義ファイル
(現在必要とされるバージョン)
5970 (現在7593)
対応エンジン5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky - Net-Worm.Win32.Niris.a Microsoft - Worm:Win32/Neeris.gen!D Symantec - W32.Spybot.Worm Comodo - Worm.Win32.AutoRun.fla0
情報掲載日2010/05/12
発見日(米国日付)2010/05/01
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/19Generic Back...
10/19DNSChanger.b...
10/19RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・Generic.dx!slfはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報:
  • MD5 - 846068E3D2C3B31B5BADE9D752118756
  • SHA1 - 822EADC0EA1BFEA1144B72705187F25058B5641A

ウイルスの特徴TOPに戻る

・Generic.dx!slfはMSNメッセンジャーを使って拡散するワームで、バックドア機能が組み込まれています。リモート攻撃者による乗っ取ったコンピュータへの無許可のアクセスと制御を可能にするバックドア機能を使用します。

・実行時、以下のレジストリ項目が作成されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\SVCWINSPOOL]
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SVCWINSPOOL]
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSDRV32]
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSDRV32\0000]
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSDRV32\0000\Control]
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32]
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32\Security]
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32\Enum]
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SVCWINSPOOL]
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SVCWINSPOOL]
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSDRV32]
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSDRV32\0000]
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSDRV32\0000\Control]
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32]
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32\Security]
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32\Enum]

・Generic.dx!slfは、14.scr、21.scrなど、2桁の数字の名前と拡張子の.SCRを持つファイルとして表示される可能性があります。レジストリが改変され、Windowsが起動するたびにGeneric.dx!slfのコピーが実行されます。また、Windowsがセーフモードで起動したときにGeneric.dx!slfが実行されるよう、レジストリデータが作成される可能性もあります。

・以下のレジストリ項目が追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WSVCHO]
  • %System%\svhost.exe

・実行時、リモートポート976を使って以下のサイトに接続します。

  • a.vsp[削除].com

・以下の値をレジストリキーに追加して、Windowsファイアウォールで許可されたアプリケーションとして自身を登録します。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
  • %System%\svhost.exe

・Generic.dx!slfはsvchost.exeプロセスを作成し、自身をプロセスに挿入します。さらに、以下のデバイスドライバのファイル[sysdrv32.sys]をドロップ(作成)します。

・実行時、sysdrv32.sysというファイル名でWindowsのドライバフォルダにルートキットをドロップします。ドロップされたバイナリは、以下のレジストリキーを作成して、自身をサービスとして登録します。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32\]

・サービスの特徴は以下のとおりです。

  • ImagePath : "%SystemDir%\ drivers\sysdrv32.sys"
  • DisplayName : " Play Port I/O Driver"
  • Group : "SST wanport drivers"

・以下のファイルが乗っ取ったシステムに追加されます。

  • %System%\svhost.exe
  • %SystemDir%\drivers\sysdrv32.sys [Generic Rootkit.gという名前で検出]

・以下のスクリーンショットから、リムーバブルドライブを接続したシステムが自動実行に設定されている場合、Generic.dx!slfを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散することがわかります。

  • %RemovableDrive%\wlan.exe
  • %RemovableDrive%\Autorun.inf
%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% = \Program Files, %SystemDrive% = オペレーティングシステムがインストールされているドライバで、通常はC:\。%RemovableDrive% = システムに挿入されたリムーバブルドライブ

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記の動作およびレジストリ項目が存在します。
  • 上記のファイルが存在します。
  • Autorunファイルを作成します。

感染方法TOPへ戻る

・Generic.dx!slfはスパムメールまたは悪質なリンクを介して届きます。また、感染したリムーバブルドライブによって拡散する場合もあります。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足