製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
Ransom-M
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)		5786
対応定義ファイル
(現在必要とされるバージョン)		5786 (現在7080)
対応エンジン5.3.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Trj/Ransom.K(Panda)Troj/Gpcode-E(Sophos)Trojan-Ransom.Win32.Xorist.a(Kaspersky)Trojan:W32/Randsom.G(F-Secure)
情報掲載日2009/11/02
発見日(米国日付)2009/10/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/19RDN/Generic ...
05/19Generic Down...
05/19RDN/Download...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7080
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る
-- 2009年10月28日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://blogs.zdnet.com/security/?p=4748

--

・Ransom-Mは、実行時、.zip、.rar、.pdf、.rtf、.txt、.jpg、.jpeg、.waw、.mp3、.db、.xls、.docx、.xlsx、.doc形式のすべてのファイルを暗号化するトロイの木馬です。ファイルを復元するには、指定された金額を攻撃者に支払って復号キーを入手する必要があります。

ウイルスの特徴TOPに戻る

・実行時、Ransom-Mはデスクトップの壁紙を以下の壁紙に変更します。

・壁紙には、システムがLorobotに感染していること、ファイルを復元するには、壁紙に記載されたメールアドレスに電子メールを送信し、復号ファイルを入手するため、攻撃者に100ドルを支払わなければならないことをユーザに伝えるメッセージが書かれています。

・さらに、ユーザのシステムにある.zip、.rar、.pdf、.rtf、.txt、.jpg、.jpeg、.waw、.mp3、.db、.xls、.docx、.xlsx、.doc形式のすべてのファイルを暗号化します。すべてのファイルの改変後、以下のようなテキストがポップアップ表示されます。

・以下のファイルを追加します。

C:\xxxx.txt
C:\WINDOWS\CryptLogFile.txt
C:\Documents and Settings\<ユーザ名>\Local Settings\Temp\wallpaper.bmp

・CryptLogFile.txtには、Ransom-Mが改変したシステムのファイルの一覧が含まれます。

C:\Adobe Reader 9 Installer\Folder.jpg
C:\Tools\API Monitor.rar
C:\Tools\Dede\DSF\DeDe_SDK.rtf
C:\WINDOWS\SHELLNEW\EXCEL12.XLSX
C:\Program Files\Windows Media Player\npdrmv2.zip
C:\Documents and Settings\All Users\Application Data\SiteAdvisor\guid.txt
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Blue hills.jpg
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Winter.jpg
C:\Documents and Settings\<ユーザ名>\Application Data\Microsoft\Internet Explorer\brndlog.txt
C:\Documents and Settings\<ユーザ名>\Cookies\<ユーザ名>@atdmt[1].txt
C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data\IconCache.db
C:\Documents and Settings\<ユーザ名>\Templates\winword.doc
C:\Documents and Settings\<ユーザ名>\Templates\excel.xls

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記の特徴が存在します。
  • 上記のファイルが存在します。

感染方法TOPへ戻る

・トロイの木馬はウイルスではなく、複製手段も組み込まれていません。しかし、トロイの木馬が他のウイルスやトロイの木馬によってダウンロードされ、インストールされる場合はあります。また、悪意のあるWebページを訪問することによって(リンクをクリック、またはマルウェアをインストールするスクリプトをホストしているWebサイトによって)インストールされる場合もあります。

駆除方法TOPへ戻る
■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足