ウイルス情報

ウイルス名

I-Shell

種別 トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4053 (現在7634)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Trojan.AOL.Intet
情報掲載日 00/01/29
発見日(米国日付) 99/11/16
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


  • I-Shellは、Windowsの既存グラフィカルユーザインタフェースExplorer.exeに対するシェルとして動作する、16ビットのトロイの木馬です。

  • このトロイの木馬が動作すると、二次プログラムとしてロードされるようにsystem.iniを次のように改変します。

    shell=Explorer.exe C:\Windows\Internet.exe

  • このトロイの木馬は、Pklite自己解凍ファイルに似たアイコンで表示されますが、実際には、自己解凍ファイルではありません。このファイルを起動すると、Winzipで次のエラーが戻ります。

    WinZip32
    Error: WinZip File Contains No Data.
    [OK]

  • このトロイの木馬は、Windowsフォルダに自身をコピーしますが、メッセージは表示しません。

  • この時点で、トロイの木馬はメモリにありませんが、次にWindowsが起動したときに自身がロードされるようにsystem.iniを改変します。

  • Windowsフォルダには、ファイルsign.iniが追加で作成されます。

  • sign.iniには、次のキーが含まれます。

    [installation]
    install=yes

  • おそらく、このトロイの木馬は、AOLインターネットサービスを対象としたパスワード詐取で、ログオン時の自己証明情報をトロイの木馬の作成者に送ります。

  • このトロイの木馬は、system.iniを改変した後、環境設定ファイルの属性を読み取り専用に設定して、ユーザが削除できないようにします。

  • system.iniを編集するには、MS-DOSでATTRIBコマンドを実行するか、SYSTEM.INIを右クリックして、[プロパティ]の[読み取り専用]チェックボックスを外して、読み取り専用属性を無効にします。