ウイルス情報

ウイルス名 危険度

MultiDropper-JL

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4336
対応定義ファイル
(現在必要とされるバージョン)
4336 (現在7656)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/03/18
発見日(米国日付) 04/03/07
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・MultiDropper-JLは、トロイの木馬として検出され、ターゲットマシンに別のファイルをドロップ(作成)し、実行するように作成されています。正確なファイルサイズ、ファイル名は、ドロッパの構成によって異なります。

・実行されると、ドロッパは内蔵しているファイルを抽出して実行するだけです。ドロッパ自身はターゲットマシンに自身をインストールしません。ドロップ(作成)したファイルの実行により、引き続きシステム変更(ファイルシステム、レジストリなど)が行われます。

・AVERTが受け取ったサンプルは、ダイアラーアプリケーションをドロップ(作成)するように設定されており、Dialer-RAS.as.アプリケーションとして検出されました。ドロッパは次のファイルで配布されました。

  • SVSHOST.EXE(23,816バイト)

・このファイルはUPXで圧縮されています。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ドロッパ自身に起因する症状はありません。ドロッパは別のファイルをドロップ(作成)して実行するだけです。システム変更は、このようにドロップ(作成)されたファイルの活動によるものです。

TOPへ戻る

感染方法

・MultiDropper-JLは、ターゲットシステムに他のファイルをドロップ(作成)して実行するだけです。MultiDropper-JLは自己複製せず、IRC、ピアツーピアファイル共有ネットワーク、ニュースグループへの投稿または電子メールの添付ファイルなどを通じて配布され、ユーザに実行を仕向けるようなファイル名を使用するようです。

・また、不十分なセキュリティ(開いている共有の単純なユーザ名とパスワードの組み合わせを使用、ファイアウォール保護が未設定、または誤って設定)、パッチが適用されていないシステムおよび脆弱なシステムが原因で受信されることもあります。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る