|
|
ウイルス情報| 種別 | トロイの木馬 | 最小定義ファイル
(最初に検出を確認したバージョン) | 5961 | 対応定義ファイル
(現在必要とされるバージョン) | 5961 (現在7077) | | 対応エンジン | 5.4.00以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Trojan.Scar-240 - [ClamAV]Trojan.Win32.Scar - [Ikarus]Trojan.Win32.Scar.bxrc - [Kaspersky ]Trojan.Win32.Scar.bxrc - [VBA32]Trojan/Scar.twy - [Jiangmin]Trojan:W32/Scar.M - [F-Secure]Trojan:Win32/Spawnt.A - [Microsoft]TrojWare.Win32.Scar.M - [Comodo]W32/Scar-H - [Sophos]W32/Scar.AG - [F-Prot]W32/Scar.BXRC!tr - [Fortinet]Win32/Scar.BG - [eTrust] | | 情報掲載日 | 2010/05/14 | | 発見日(米国日付) | 2010/04/23 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| 概要 | TOPに戻る | |
・Scar.gen.jはマルウェアで、実行時、ターゲットマシンのすべての実行ファイルを自身のコピーに置き換えます。
・ドロップされるファイル、作成されるレジストリ項目などの特徴は攻撃者の設定によって異なります。よって、ここでは一般的な特徴を説明します。
|
|
| ウイルスの特徴 | TOPに戻る | |
・実行時、以下の場所に自身のコピーをドロップ(作成)します。
- %System%\ntldr.exe
- C:\WinNT.exe
・次に、すべてのリムーバブルデバイス、すべての固定ドライブのルート、システムフォルダにAutoRun.inf構成ファイルと一緒に自身のコピーをドロップします。
注:
%System%はシステムフォルダを指す変数です。Windows XPの場合、デフォルトではC:\Windows\System32になります。
・以下のレジストリの改変を行います。
- Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\policies\Explorer
データ: NoDriveAutoRun = 0x00000000
データ: NoDriveTypeAutoRun = 0x00000000
- Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run]
データ: NT4 hosting service = "%System%\ntldr.exe"
これにより、システム起動時にScar.gen.jが実行されるようにします。
・さらに、C:ドライブにあるすべての実行ファイルを自身のコピーに置き換えます。置き換えられたファイルのファイル名は変更されません。
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る |
- 上記のファイルおよびレジストリ項目が存在します。
- リムーバブル、固定ドライブのルートに以下のようなautorun.infファイルが存在します。
|
|
| 感染方法 | TOPへ戻る | |
・Scar.gen.jは「Autorun.inf」構成ファイルと一緒に自身をリムーバブルドライブにコピーして拡散します。
・感染ファイルを手動で実行、あるいは感染ファイルが格納されたフォルダを開くと、「Autorun.inf」ファイルで自動実行が開始され、感染します。
|
|
| 駆除方法 | TOPへ戻る | | ■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。 Windows ME/XPでの駆除についての補足 |
|
|
|
|  |
