|
|
ウイルス情報| 種別 | トロイの木馬 | 最小定義ファイル
(最初に検出を確認したバージョン) | 6753 | 対応定義ファイル
(現在必要とされるバージョン) | 6757 (現在7080) | | 対応エンジン | 5.2.00以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Microsoft - TrojanDownloader:Win32/Cutwail.BE Kaspersky - Trojan.Win32.Jorik.Totem.kj Ikarus - Trojan.Win32.Jorik Symantec - Trojan.ADH.2 | | 情報掲載日 | 2012/07/06 | | 発見日(米国日付) | 2012/06/14 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| 概要 | TOPに戻る | |
・PWS-Zbot.gen.aemはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。
|
|
| ウイルスの特徴 | TOPに戻る | |
・実行時、以下の場所に自身をコピーします。
- %Userprofile%\3hmpa190gs.exe
・以下のファイルをドロップ(作成)します。
・以下のレジストリにより、PWS-Zbot.gen.aemが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。
- HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run:
"3hmpa190gs" = %Userprofile%\3hmpa190gs.exe
・また、以下のWebサイトに接続しようとします。
- n[削除]rr.ru
- g[削除]r.ru
- m[削除]yr.ru
- so[削除]ry.ru
- Ra[削除]kr.com/Ra[削除]kr.ru/Ra[削除]kr.kz/Ra[削除]kr.net
- Og[削除]m8.com/Og[削除]m8.ru/Og[削除]m8.kz/Og[削除]m8.net
- Mav[削除]Urv.com/Mav[削除]Urv.ru/Mav[削除]Urv.kz/Mav[削除]Urv.net
- Pa[削除]yi.com/Pa[削除]yi.ru/Pa[削除]yi.kz/Pa[削除]yi.net
- Dyd[削除]eu.com/Dyd[削除]eu.ru/Dyd[削除]eu.kz/Dyd[削除]eu.net
- Ci[削除]ac.com/Ci[削除]ac.ru/Ci[削除]ac.kz/Ci[削除]ac.net
- he[削除]sye.com/he[削除]sye.ru/he[削除]sye.kz/he[削除]sye.net
- Ni[削除]Rod.com/Ni[削除]Rod.ru/Ni[削除]Rod.kz/Ni[削除]Rod.net
- fo[削除]d3.com/fo[削除]d3.ru/fo[削除]d3.kz/fo[削除]d3.net
- nu[削除]Od.com/nu[削除]Od.ru/nu[削除]Od.kz/nu[削除]Od.net
- Aiw[削除]Eg.com/Aiw[削除]Eg.ru/Aiw[削除]Eg.kz/Aiw[削除]Eg.net
- By[削除]ar.com/By[削除]ar.ru/By[削除]ar.kz/By[削除]ar.net
- Fe[削除]dav.com/Fe[削除]dav.ru/Fe[削除]dav.kz/Fe[削除]dav.net
- Ok[削除]Og.com/Ok[削除]Og.ru
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る | |
・上記のファイルおよびレジストリキーが存在します。
|
|
| 感染方法 | TOPへ戻る | |
・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。
|
|
| 駆除方法 | TOPへ戻る | 全ての Windows ユーザー 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。- システムリストアを無効にしてください。
- 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
- Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます - 回復コンソールでクリーンなMBRに修復してください。
Windows XPの場合 CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。
Windows Vista および 7 の場合 CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。 |
|
|
|
|  |
