製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
JS/Seeker.gen
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)		4102
対応定義ファイル
(現在必要とされるバージョン)		4102 (現在7084)
対応エンジン4.0.35以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名js.seeker, JS/Seeker.gen.a, JS/Seeker.gen.b, JS/Seeker.gen.c, JS/Seeker.gen.d, JS/Seeker.gen.e, JS/Seeker.gen.f, JS/Seeker.gen.g, JS/Seeker.gen.h, JS/Seeker.gen.k, JS/Seeker.gen.l, JS/Seeker.gen.m, JS/Seeker.gen.n, JS/Seeker.i, JS/Seeker.j, JS/Seeker.p, JS/Seeker.q, JS/Seeker.r, JS/Seeker.s, JS/Seeker.t, JS/Seeker.u, JS_SEEKER.A, JS_SEEKER.B, VBS/Seeker
情報掲載日00/11/09
発見日(米国日付)00/10/26
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/22W32/Virut.ge...
05/22W32/Duel!962...
05/22W32/Duel!EC1...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7084
 エンジン:5.4.00
 
ウイルス検索
 




2001年10月5日更新情報
検索エンジン 4.1.50 をリリースしてから、暗号化された JS/Seeker.gen サンプルの数が増加しています。これは、このエンジンが新しい復号化技術を使用していることによるものです。これらのサンプルのほとんどが、ActiveX コントロールへのアクセスを許可するセキュリティ問題の脆弱性を利用しています。
  • このトロイの木馬は、Webブラウザが起動されると、デフォルトのスタートページと検索ページを改変します。

  • JS/Seeker.genが起動するには、Windows Scripting Hostがインストールされている必要があります。

  • JS/Seeker.genの作成には、スクリプト生成プログラムが使用されていると思われます。このプログラムにより、作者は異なるパラメータを指定することができます。

  • このウイルスにはたくさんの亜種が存在するため、これらの説明は概要に過ぎません。

  • このトロイの木馬は、"runme.hta"というファイル名で配信されることがあります。

  • このファイルを開くと、システムのレジストリが次のように改変されます。

    HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
    HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
    HKCU\Software\Netscape\Netscape Navigator\Main\Home Page

  • 元のレジストリの値は、WINDOWSディレクトリにある"HOMEREG111.REG"、"BACKUP1.REG"、および"BACKUP2.REG"のファイルに保存されます。
  • また、Reg/Seekerとして検出される、このウイルスに類似したバージョンが確認できます。両者の違いは、Reg/SeekerはJava scriptよりむしろ*.regファイル内に存在する点です。

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • ブラウザを起動すると、ホームページと検索ぺージが変更されている。
  • "runme.hta", "removeit.hta", "homereg111.reg" のいずれかが存在する。

感染方法 ・実行されると、"homereg111.reg"ファイルに新しいレジストリー値が書き込まれ、それまでのレジストリー値は"backup1.reg"と "backup2.reg"に保存されます。その後"homereg111.reg"はレジストリーにインポートされます。最終的には"removeit.hta" が起動され、"C:\WINDOWS\START MENU\PROGRAMS\STARTUP\runme.hta"というファイルを削除しようとします。