製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:O
ウイルス情報
ウイルス名危険度
JS/Offensive
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4156
対応定義ファイル
(現在必要とされるバージョン)
4156 (現在7600)
対応エンジン4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名Trojan.Offensive (NAV)
情報掲載日01/08/20
発見日(米国日付)01/08/20
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
この悪質プログラムには、8月23日(木)発行予定ののウイルス定義ファイル4155で対応いたします。
8/20の時点で上記のようにご案内しておりましたが、正式ウイルス定義ファイルでの対応は、8月30日(木)に発行予定のウイルス定義ファイル4156での対応に変更となりました。またトロイの木馬の名称もJS@JuckからJS/Offensiveに変更となりました。何卒、ご了承ください。


4156定義ファイルの発行までの間、JS/Offensiveに対応するためには;


この悪質プログラムは、Webを経由しているため、検出するためには以下のいずれかの設定が必要です。

  • a): 「すべてのファイル」を検査対象にする
  • b): 検査対象拡張子に、HTML, HTM, ASPなどのWebファイル拡張子を追加する。
注:ViruScanの拡張子設定ボックスでは、HT?と入力すれば、HTML、HTM拡張子の両方をカバーできます。

JS/Offensive は、HTMLファイル内の悪質JavaScriptを使ったトロイの木馬です。

このJavaScriptコードは、Windows Script Host Shell Object ActiveX コンポーネントを使っており、またマイクロソフトの仮想マシン脆弱点を悪用しています。

具体的には「ActiveX コントロールの不正な実行によって PC が被害を受ける」 の脆弱性を悪用したものです。これに関する詳しい情報はこちらをご覧ください。

このトロイの木馬は、大量のレジストリを書き換えており、そのためシステムエラーやインターネットエクスプローラのスタートページの変更や、アイコンリンクの見失いなどが発生します。

このトロイの木馬は、日本のユーザーが利用するある特定のWebサイトに、悪意の第三者により、埋め込まれたと思われます (注:当該サイトからはすでにトロイの木馬は除去されています)。そのサイトを閲覧すると、その後、以下の症状が起きます。

  1. アプリケーションが実行できなくなる(アイコンをクリックしても起動しない)

  2. Windowsが終了できなくなる(スタートメニューから「シャットダウン」の項目が消えている)

  3. Ctrl+Alt+Deleteなどで強制終了した後で再起動すると、"If you have any trouble please email:findlu@21cn.com. note: not for japanese&dog&pig"というメッセージボックスが出る。上記 1), 2) の症状が続行する。つまりWindowsが使用できなくなる。

変更されるレジストリの一覧は以下のとおりです。
----------------------------------------------------------------
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer
\\RestrictRun
\\NoChangeStartMenu
\\NoClose
\\NoDrives
\\NoDriveTypeAutoRun
\\NoFavoritesMenu
\\NoFileMenu
\\NoFind
\\NoFolderOptions
\\NoInternetIcon
\\NoRecentDocsMenu
\\NoLogOff
\\NoRun
\\NoSetActiveDesktop
\\NoSetFolders
\\NoSetTaskbar
\\NoWindowsUpdate
\\Nodesktop
\\NoViewContextMenu
\\NoNetHooD
\\NoEntioeNetwork
\\NoWorkgroupContents
\\NoSaveSettings

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System
\\DisableRegistryTools
\\NoConfigPage
\\NoDevMgrPage
\\NoDispAppearancePage
\\NoDispScrSavPage
\\NoDispBackgroundPage
\\NoDispSettingsPage
\\NoFileSysPage
\\NoVirtMemPage

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp
\\NoRealMode
\\Disabled

HKLM\\Software\\Microsoft\\Internet Explorer\\Main
\\Window Title
\\Start Page
\\Start Page

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon
\\LegalNoticeCaption
\\LegalNoticeText

HKLM\\Software\\Microsoft\\Internet Explorer\\Extensions\\{C18CB140-0BBB-11D4-8FE8-0088CC102438}
\\ButtonText
\\CLSID
\\Default Visible
\\Exec
\\MenuStatusBar
\\MenuText

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer
\\MenuExt\\

HKEY_CLASSES_ROOT\\Drive\\shell\\how to fuck japan\\command
\\", "C:\\WINDOWS\\IsUninst.exe");

HKEY_LOCAL_MACHINE\\Software\\CLASSES\\.exe\\", "textfile");
("HKEY_LOCAL_MACHINE\\Software\\CLASSES\\.reg\\", "texttfile");
("HKEY_LOCAL_MACHINE\\Software\\CLASSES\\.htm\\", "texttfile");
("HKEY_LOCAL_MACHINE\\Software\\CLASSES\\.html\\", "textfile");
("HKEY_LOCAL_MACHINE\\Software\\CLASSES\\.txt\\", "exefile");
("HKEY_LOCAL_MACHINE\\Software\\CLASSES\\.inf\\", "textfile");
("HKEY_LOCAL_MACHINE\\Software\\CLASSES\\.dll\\", "textfile");
("HKEY_LOCAL_MACHINE\\Software\\CLASSES\\.ini\\", "textfile");
("HKEY_LOCAL_MACHINE\\Software\\CLASSES\\.sys\\", "textfile");
("HKEY_LOCAL_MACHINE\\Software\\CLASSES\\.com\\", "textfile");
("HKEY_LOCAL_MACHINE\\Software\\CLASSES\\.bat\\", "textfile");

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
\\Run\\internat.exe", "C:\\WINDOWS\\IsUn0804.exe");
\\Run\\ScanRegistry", "C:\\WINDOWS\\IsUninst.exe");
\\Run\\TaskMonitor", "C:\\WINDOWS\\IsUn0804.exe");
\\Run\\SystemTray", "C:\\WINDOWS\\Is160804.exe");
\\Run\\LoadPowerProfile", "C:\\WINDOWS\\IsUn0804.exe");
\\RunServices\\LoadPowerProfile
\\RunServices\\SchedulingAgent
----------------------------------------------------------------

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

感染方法TOPへ戻る

駆除方法TOPへ戻る