製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
QHosts-1
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)		4296
対応定義ファイル
(現在必要とされるバージョン)		4333 (現在7109)
対応エンジン4.1.60以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名QHosts-1.dr
情報掲載日03/10/02
発見日(米国日付)03/09/29
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
06/16VBS/LoveLett...
06/16RDN/AutoRun....
06/16RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7109
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--- 更新日 2003年10月2日 ---
・マイクロソフト社はQHosts-1による脆弱性の悪用に対するパッチをリリースしました。詳細は以下をご覧ください。
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-040.asp

--- 更新日 2003年10月2日 ---
・QHosts-1は以下のメディアの注目を集めたので、危険度を“低[要注意]”にしました。 http://www.cbronline.com/latestnews/a7aa802c3a25406d80256db30018c17b

・QHosts-1はトロイの木馬で、ブラウザの使用をハイジャックするのが目的です。ページがリクエストされると、ルートを変更して特定のドメインネームサーバへ送信します。このように、リモートの“管理者”が、選択したページへユーザを導きます。例えば、感染したユーザは http://www.google.com に接続しようとしても、違うサイトへ接続してしまいます。

・QHosts-1はNTBUGTRAQで最近報告されたように、以下のとおり、システムの異常なDNS変更を行います。

  1. ユーザがExploit-ObjectDataコードを含むWebサイトへ接続されます。これにより、HTMLファイル(x.hta)に含まれているVBScriptが自動実行します。
  2. VBScriptは %TEMP%ディレクトリにAOLFIX.EXEファイルを落とし込みます。
  3. このAOLFIX.EXEファイルを実行します。AOLFIX.EXEファイルで実行されるタスクは異なる場合があります(2つの亜種の存在が知られています)。
  4. VBScriptはO.BATファイルを作成します。これは落とし込まれたAOLFIX.EXEファイルと O.BATファイルを削除して、QHosts-1の後始末をします。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・システムの変更は以下のとおりです。
  • HOSTSという名前のファイルは、 %WinDir%\Helpディレクトリに作成されて、有名なURL検索(google.com、altavista.comなど)から IPアドレス207.44.220.30にリダイレクトします。[注:このパスはHOSTSファイルのデフォルトではなく、以下のレジストリキーを作成してHOSTSパスを変更します。]
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
      Tcpip\Parameters "DataBasePath" = %SystemRoot%\help
  • 異なるIPアドレスを使用するDNSサーバの設定。例:
    • 69.57.146.14
    • 69.57.147.175
  • 以下のレジストリキーの作成。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
    Services\Tcpip\Parameters\Interfaces\windows "r0x" = your s0x
  • Windowsディレクトリにwinlogというファイル名でマーカーファイルを作成します。
  • QHosts-1は一時ディレクトリを作成し、自身を配置します。
    • c:\bdtmp\tmp

・複数のInternet Explorerレジストリエントリが変更または作成されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Search Bar" = http://www.google.com/ie
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use Search Asst" = no
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl "(Default)" = http://www.google.com/keyword/%s
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Search Page" = http://www.google.com
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl "provider" = gogl
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search "SearchAssistant" = http://www.google.com/ie

感染方法TOPへ戻る
・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

・QHosts-1はInternet Explorerの脆弱性を利用してローカルシステムにインストールされます。インストールされると、QHosts-1はドメイン名要求を特定のアドレスにリダイレクトします。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

手動による駆除方法

  1. マイクロソフト修正プログラム(MS03-040 patch )を適用します。
  2. 以下のファイルを削除します。
    1. %WinDir%\Help\hosts
    2. %WinDir%\winlog
  3. 以下のレジストリ値を設定します。
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters "DataBasePath" = %SystemRoot%\System32\drivers\etc
  4. 以下のレジストリ値を削除します。
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
      Services\Tcpip\Parameters\Interfaces\windows "r0x"
  5. DNSサーバ設定を再設定します。
  6. Internet Explorer設定を再設定します。