製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:I
ウイルス情報
ウイルス名危険度
Ilomo
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)		4692
対応定義ファイル
(現在必要とされるバージョン)		5707 (現在7084)
対応エンジン5.2.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
情報掲載日2009/08/17
発見日(米国日付)2006/02/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/22W32/Virut.ge...
05/22W32/Duel!962...
05/22W32/Duel!EC1...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7084
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る

・Ilomoはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

-- 2009年7月31日更新 --

・オンライン銀行を監視して銀行口座を盗み出すコンポーネントを含む、機密情報を盗み出すコンポーネントをダウンロードする新しい亜種が確認されました。また、さまざまなアプリケーションのパスワードを検索するパスワード復元プログラムもダウンロードします。

--2009年6月7日更新--

・Ilomoの新しい亜種は以下のファイルをドロップ(作成)します。
%USER_PROFILE%\Application Data\xx.exe (ファイル名はランダム)

・以下のレジストリキーを追加して、システム起動時にフックします。
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run\xx: "%USER_PROFILE%\xx.exe" (レジストリキー名はランダム) (%USER_PROFILE%はデフォルトのユーザプロファイルフォルダ。

例:C:\Documents and Settings\Administrator\(カレントユーザが管理者の場合))

・キー値が追加されます。

  • HKEY_USERS\Software\Microsoft\Internet Explorer\Settings:
    • GID
    • GateList
    • KeyM
    • KeyE
    • PID

・非表示のiexplorer.exeプロセスを作成し、悪意のあるコードを挿入します。

・以下のサーバに接続しようとします。

  • drug4sale.loderunner.in
  • re-factoring.cn
  • ltdomains.com
  • hostnoc.net
  • 66.96.234.5
  • booch.goochabamboocha.cn
  • forum.reversed.gs

・テスト時には、GateListキー値に以下のIPが組み込まれていました。

  • 147.202.39.101
  • 195.225.236.4
  • 201.2.197.15
  • 202.181.96.87
  • 207.218.248.49
  • 147.202.39.101
  • 174.142.22.51
  • 195.12.38.103
  • 195.189.247.110
  • 195.225.236.4
  • 209.51.159.31
  • 209.85.120.100
  • 61.153.3.48
  • 64.18.143.52
  • 66.128.55.82
  • 66.199.237.139
  • 66.199.237.3
  • 66.225.237.140
  • 66.7.197.104
  • 66.96.234.5
  • 66.98.144.21
  • 66.98.153.17
  • 67.15.150.130
  • 67.15.161.131
  • 67.15.236.244
  • 67.228.138.10
  • 69.172.130.201
  • 69.57.140.181
  • 70.84.236.194
  • 72.233.28.167
  • 72.29.66.235
  • 78.108.183.225
  • 78.109.29.129
  • 78.109.30.213
  • 78.109.31.54
  • 78.47.214.117
  • 78.47.61.229
  • 78.47.61.232
  • 83.175.218.163
  • 84.16.229.188
  • 84.243.197.76
  • 87.118.101.27
  • 87.118.88.30
  • 92.48.96.229
  • 94.75.221.70
----------------------------------

・Ilomoは隠しインスタンスを起動し、Webからさらにコンポーネントをダウンロードして実行する悪意のあるコードをiexplorer.exeプロセスに挿入します。ダウンロードされるコンポーネントの機能は、感染の発生時期、コンポーネントのダウンロード時期によって異なります。実際の状況から見て、IlomoはPsexecを使って繁殖する可能性があります。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・ログオンしたアカウントからiexplore.exeプロセスがインターフェースに表示されずに実行されます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足