ウイルス情報

ウイルス名 危険度

Scar.gen.j

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5961
対応定義ファイル
(現在必要とされるバージョン)
5961 (現在7634)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Trojan.Scar-240 - [ClamAV]Trojan.Win32.Scar - [Ikarus]Trojan.Win32.Scar.bxrc - [Kaspersky ]Trojan.Win32.Scar.bxrc - [VBA32]Trojan/Scar.twy - [Jiangmin]Trojan:W32/Scar.M - [F-Secure]Trojan:Win32/Spawnt.A - [Microsoft]TrojWare.Win32.Scar.M - [Comodo]W32/Scar-H - [Sophos]W32/Scar.AG - [F-Prot]W32/Scar.BXRC!tr - [Fortinet]Win32/Scar.BG - [eTrust]
情報掲載日 2010/05/14
発見日(米国日付) 2010/04/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Scar.gen.jはマルウェアで、実行時、ターゲットマシンのすべての実行ファイルを自身のコピーに置き換えます。

・ドロップされるファイル、作成されるレジストリ項目などの特徴は攻撃者の設定によって異なります。よって、ここでは一般的な特徴を説明します。

TOPへ戻る

ウイルスの特徴

・実行時、以下の場所に自身のコピーをドロップ(作成)します。

  • %System%\ntldr.exe
  • C:\WinNT.exe

・次に、すべてのリムーバブルデバイス、すべての固定ドライブのルート、システムフォルダにAutoRun.inf構成ファイルと一緒に自身のコピーをドロップします。

注:
%System%はシステムフォルダを指す変数です。Windows XPの場合、デフォルトではC:\Windows\System32になります。

・以下のレジストリの改変を行います。

  • Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\policies\Explorer
    データ: NoDriveAutoRun = 0x00000000
    データ: NoDriveTypeAutoRun = 0x00000000
  • Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run]
    データ: NT4 hosting service = "%System%\ntldr.exe"
これにより、システム起動時にScar.gen.jが実行されるようにします。

・さらに、C:ドライブにあるすべての実行ファイルを自身のコピーに置き換えます。置き換えられたファイルのファイル名は変更されません。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリ項目が存在します。
  • リムーバブル、固定ドライブのルートに以下のようなautorun.infファイルが存在します。

TOPへ戻る

感染方法

・Scar.gen.jは「Autorun.inf」構成ファイルと一緒に自身をリムーバブルドライブにコピーして拡散します。

・感染ファイルを手動で実行、あるいは感染ファイルが格納されたフォルダを開くと、「Autorun.inf」ファイルで自動実行が開始され、感染します。

TOPへ戻る

駆除方法

■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足

TOPへ戻る