McAfee for Small Businesses

ウイルス名 危険度 Ransom-J 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5693 対応定義ファイル (現在必要とされるバージョン) 5694　（現在7084) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 情報掲載日 2009/07/30 発見日（米国日付） 2009/07/29 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・実行時、以下のファイルを作成します。 %USER_PROFILE\Application Data\msmedia.dll %USER_PROFILE\Local Settings\History\History.IE5\MSHist012009072920090730\index.dat C:\Program Files\Mozilla Firefox\extensions\{9CF826EF-2211-4747-ACD8-711F744C2424}\chrome\content\informer.js C:\Program Files\Mozilla Firefox\extensions\{9CF826EF-2211-4747-ACD8-711F744C2424}\chrome\content\informer.xul C:\Program Files\Mozilla Firefox\extensions\{9CF826EF-2211-4747-ACD8-711F744C2424}\chrome.manifest C:\Program Files\Mozilla Firefox\extensions\{9CF826EF-2211-4747-ACD8-711F744C2424}\install.rdf （%USER_PROFILE%はデフォルトのユーザプロファイルフォルダ。例：C:\Documents and Settings\Administrator\（カレントユーザが管理者の場合）） ・以下のファイルを改変します。 %USER_PROFILE\Application Data\Mozilla\Firefox\Profiles\6pmrywrf.default\extensions.cache ・以下のレジストリキーを作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D64F819-9380-8473-DAB2-702FCB3D7A3E}\InprocServer32\: "%USERPROFILE%\Application Data\msmedia.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D64F819-9380-8473-DAB2-702FCB3D7A3E}\InprocServer32\ThreadingModel: "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D64F819-9380-8473-DAB2-702FCB3D7A3E}\: "MS Media Module" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D64F819-9380-8473-DAB2-702FCB3D7A3E}\: "MS Media Module" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D64F819-9380-8473-DAB2-702FCB3D7A3E}\NoExplorer: 0x00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wsf\OpenWithProgids\WSFFile: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012009072920090730\CachePath: "%USERPROFILE%\Local Settings\History\History.IE5\MSHist012009072920090730 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012009072920090730\CachePrefix: ":2009072920090730: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012009072920090730\CacheLimit: 0x00002000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012009072920090730\CacheOptions: 0x0000000B HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012009072920090730\CacheRepair: 0x00000000 HKEY_CURRENT_USER\Software\Microsoft\ Explorer\Main\Enable Browser Extensions: "yes" ・IE、FirefoxなどのWebブラウザでユーザが閲覧したすべてのWebページにインライン広告を表示します。 ・広告ページのテキストの訳は以下のとおりです。 広告モジュールをインストールしたけれども、登録しないことにした場合、以下の番号にMCを送信してください。コードにより、受信したニュースティッカーを削除できます。 1 30日後に自動的に削除される情報提供プログラム 2 無料ポルノビデオアーカイブ 3 技術サポートサービス ・ユーザが間違ったキーを入力すると、以下のページが表示されます。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・上記のファイルが存在します。 ・上記のレジストリキーが存在します。 ・画像入りの広告ページが表示されます。 感染方法 TOPへ戻る ・Ransom-Jはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC（インターネットリレーチャット）、ピアツーピアネットワークなどを通じて配布されます。 駆除方法 TOPへ戻る ■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足