製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:G
ウイルス情報
ウイルス名危険度
Generic Dropper.p
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4602
対応定義ファイル
(現在必要とされるバージョン)
6391 (現在7593)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2010/11/15
発見日(米国日付)2005/10/11
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/19Generic Back...
10/19DNSChanger.b...
10/19RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・ドロッパとは、本体に他のバイナリが組み込まれたファイルをいいます。自己解凍型のZIPファイルのように、内部にファイルを格納し、感染マシンにインストールします。

・多くのドロッパによってドロップ(作成)されるファイルには、他のトロイの木馬(リモートマシンからさらに多くのファイルをダウンロードするダウンローダ型トロイの木馬、ハッカーがクライアントマシンにリモートアクセスできるバックドア、クライアントのインターネット接続のダイヤルアップ設定を高額料金の番号に変更するダイヤラーなど)があります。

------- 2010年11月13日更新 ---

ファイル情報

  • MD5 -37F7D9B656B60E9960F40C8F8E7C88ED
  • SHA1 - B6CCD46C49A1A618FDE16825BAD1456FF32C9EB3

ウイルスの特徴TOPに戻る

------- 2010年11月13日更新 ---

・実行時、Generic Dropper.pは完全に自動で動作し、感染したコンピュータでのターゲットの活動をバックグラウンドで監視し、すべてのデータ、またはあらかじめ定義された特定のデータを記録します。

・以下のシステム情報を収集します。

  • コンピュータ名
  • ホームドライブ
  • ホームパス
  • ログオンサーバ
  • プロセッサID
  • プロセッサレベル
  • システムドライブ
  • ユーザ名
  • OS
  • プロセッサアーキテクチャ
  • ユーザドメイン

-- 2010年7月12日更新 --

・以下のファイルをドロップして実行するいくつかの亜種を受け取りました。

  • %TEMP%\Jmj.exe
  • %TEMP%\Jmk.exe
  • %TEMP%\Jml.exe

・Jmj.exeは%SYSTEMROOT%\SYSTEM32にDLLファイル(sshnas21.dll)をドロップし、SSHNASという表示名でサービスとして自身を登録します。

・Jml.exeは以下の2つのジョブファイルを作成して、Jgesoa.exe、Jml.exeを起動します。

  • {8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
  • {35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

・再起動時に自身を起動するため、以下のレジストリ項目を作成します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    JDK5SWFMZY = %TEMP%\Jml.exe

・Jmk.exeは%SYSTEMROOT%にJgesoa.exeファイルをドロップします。

・最後に、Generic Dropper.pのオリジナルのファイルを削除するバッチファイルを作成します。

・また、感染したシステムはTCPポート80で以下のドメインに接続することが確認されています。

  • best-arts-[削除].com
  • edrichfine[削除].com

-- 2009年3月4日更新 --

・一部の亜種には、以下のような特徴があります。

・以下のデータと値が追加されます(クラスIDと値の名前はランダムな可能性があります)。

  • HKEY_CLASSES_ROOT\CLSID\{CC22E8D6-3B73-077E-DD49-EA81789AB64A} “(既定)" "kbdsgi"
  • HKEY_CLASSES_ROOT\CLSID\{CC22E8D6-3B73-077E-DD49-EA81789AB64A}\InprocServer32 “(既定)" "C:\WINDOWS\system32\kbdsgi.dIl"
  • HKEY_CLASSES_ROOT\CLSID\{CC22E8D6-3B73-077E-DD49-EA81789AB64A}\InprocServer32 "ThreadingModel" "Apartment"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\kbdsgi “(既定)" "{CC22E8D6-3B73-077E-DD49-EA81789AB64A}"

・以下のファイルが追加されます。

  • %WindDir%\system32\dsuiqxt.dat (ファイル名はランダムな可能性があります)
  • %WinDir%\system32\fldrcxnr.dat (ファイル名はランダムな可能性があります)
  • %WinDir%\system32\iologmrg.dat (ファイル名はランダムな可能性があります)
  • %WinDir%\system32\kbdsgi.dat (ファイル名はランダムな可能性があります)
  • %WinDir%\system32\kbdsgi.dIl (ファイル名はランダムな可能性があります)
(%WinDir%はデフォルトのWindowsフォルダ。例:C:\WINNT、C:\WINDOWSなど)

-- 2008年5月13日更新 --

・実行時、Generic Dropper.pの新しい亜種は以下のファイルをドロップします。

  • %WinDir%\system32\deskaspi.dat (ファイル名はランダムな可能性があります)
  • %WinDir%\system32\rtmra.dat (ファイル名はランダムな可能性があります)
  • %WinDir%\system32\rtmra.dIl (ファイル名はランダムな可能性があり、Generic Spy.eという名前で識別されます)
  • %WinDir%\system32\winstf.dat (ファイル名はランダムな可能性があります)
  • %WinDir%\system32\wlnotiey.dat (ファイル名はランダムな可能性があります)

(%WinDir%はデフォルトのWindowsフォルダ。例:C:\WINNT、C:\WINDOWSなど)

-- 2007年11月7日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://blog.washingtonpost.com/securityfix/2007/11/deconstructing_the_fake_ftc_em.html?nav=rss_blog

--

・Generic Dropper.pの最新の亜種はスパムメールとして届きました。

・リンクをクリックすると、以下のファイルがダウンロードされます。

・実行ファイルを実行すると、以下のファイルがドロップされます。

  • %SystemDir%\GenuineLicence.exe 65,024 bytes (Generic Dropper.p)
  • %SystemDir%\kbd.dll 5,632 bytes (Generic Keylogger)
  • %SystemDir%\test.dll 31,744 bytes (Generic BackDoor.u)

・Generic Dropper.pは以下のレジストリキーを改変します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "service" = %SystemDir%\GenuineLicence.exe

駆除方法TOPへ戻る
脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。