ウイルス情報

ウイルス名 危険度

Hiloti.gen.g

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6085
対応定義ファイル
(現在必要とされるバージョン)
6088 (現在7656)
対応エンジン 5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 F-Secure - Trojan:W32/Hiloti.AP Kaspersky - Trojan-Downloader.Win32.Mufanom.aafz Microsoft - Trojan:Win32/Hiloti.gen!D SymantecTrojan.Zefarch!gen
情報掲載日 2010/09/01
発見日(米国日付) 2010/08/25
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Hiloti.gen.gはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報
  • MD5 - 18b1e3177f6f3e78d522b6fd3b489f30
  • SHA1- 044fa819002e77818a8e5a86ed95af0f308fedb8

TOPへ戻る

ウイルスの特徴

・「Hiloti.gen.g」はトロイの木馬で、このdllはソースファイルとしてドロップ(作成)されます。感染したユーザの閲覧を監視します。また、リモートサイトに接続して悪質なファイルをダウンロードする可能性があります。

・以下の2つのプロセスに自身を挿入し、悪質な活動を行います。

  • explorer.exe
  • iexplore.exe

・ユーザが閲覧するURLを監視し、関連する情報をリモートホストに送信します。

・以下の文字列を探し、見つかった場合、リモートサイトにリダイレクトする可能性があります。

  • .yahoo
  • .aclk
  • .msn
  • .live
  • .yahoo
  • .google
  • mywebsearch
  • search.aol

・実行時、以下のファイルをドロップ(作成)します。

  • %AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\chrome.manifest
  • %AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\install.rdf
  • %AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\chrome\content\_cfg.js
  • %AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\chrome\content\overlay.xul [JS/Redirector.abという名前で検出]

・以下のレジストリ項目を追加し、構成情報を格納します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Hnuruyaxubexuyir

・以下のレジストリ値が追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    Lyevacuqepi = "rundll32.exe "[DLLのパス]\iyebuteb.dll",Startup"

・以下のレジストリにより、Windowsが起動するたびにHiloti.gen.gが実行されるようにします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}:]
    = "%AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Hnuruyaxubexuyir\]
    Jlituzupij = ":IEXPLORE.EXE:0:123Mi4567t8"
    Eyaqaqojunehohi =
    Pvunecolayiza =

・以下のフォルダが追加されます。

  • %AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}
  • %AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\chrome
  • %AppData%\{04A9E038-E3A1-4BF0-B7F8-8EC2F1D92643}\chrome\content
[注: %AppData% - C:\Documents and Settings\[ユーザ名]\Application Data]

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・Hiloti.gen.gのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る