McAfee for Small Businesses

ウイルス名 危険度 MultiDropper-RQ 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5040 対応定義ファイル (現在必要とされるバージョン) 5040　（現在7080) 対応エンジン 5.3.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Symantec - WS.Reputation.1 Sunbelt - Trojan.Win32.Generic!SB.0 Norman - W32/Obfuscated.H3!genr 情報掲載日 2010/09/24 発見日（米国日付） 2007/05/28 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/19 RDN/Generic ... 05/19 Generic Down... 05/19 RDN/Download... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・マルチドロッパとは、他のトロイの木馬をインストールして実行するプログラムです。一般的に、トロイの木馬のユーザは、トロイの木馬と無害なプログラム（ゲームなど）を1つのプログラムに結合する、ジョイナまたはバインダと呼ばれるプログラムを実行します。一般的に、マルチドロッパ自体にはペイロードや感染能力はなく、他のトロイの木馬をインストールするだけです。 ・実行時、MultiDropper-RQはリモートポート80を介してstal[削除]edge.comに接続し、悪質なファイルをダウンロードします。 ・実行時、以下の場所に自身をコピーします。 %Temp%\WinInstaller.exe [隠しファイル] ・以下のレジストリ値が追加されます。 [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\] “WinInstall” = "%Temp%\WinInstaller.exe" ・上記のレジストリにより、MultiDropper-RQがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。 [%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\] 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のファイルおよびレジストリキーが存在します。 上記のIPアドレスへの予期しないネットワーク接続が存在します。 感染方法 TOPへ戻る ・MultiDropper-RQは実行時、ローカルシステムに直接インストールされます。通常、オリジナルのファイルから作成、抽出されるファイルはWindows、Windows\system、Tempフォルダなどの標準的な場所に格納され、Windowsの起動時にドロップ（作成）されたバイナリがロードされるよう、レジストリが改変されます。 駆除方法 TOPへ戻る ■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。 Windows ME/XPでの駆除についての補足