ウイルス情報

ウイルス名 危険度

SWCall

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4184
対応定義ファイル
(現在必要とされるバージョン)
4478 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Troj/Id8525 (Sophos), TROJ_ID8525.A (Trend)
情報掲載日 02/06/27
発見日(米国日付) 02/02/11
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このトロイの木馬については、2 つのバージョンの存在が知られており、検出されています。1つ目のバージョンには上記の定義ファイル、2つ目のバージョンには 4208 以降の定義ファイルで対応します。以下の説明は、2つ目のバージョンに特定(ファイル名などについて)のものです。
  • このトロイの木馬が機能するためには、さまざまなファイルが必要となります。すべてのファイルが存在する場合、メインの実行ファイル(139,776 バイト、名前は ID8525.EXE など)が実行されると、次のことが行われます。
    • Internet Explorer の標準設定のホーム ページが、ローカル ディスク上の HTML ページを指すように改変されます。

      HKEY_CURRENT_USER\Software\Internet Explorer "Startpagina"

      および

      HKEY_CURRENT_USER\Software\Internet Explorer "Start Page"

      = (ディレクトリ名)\ID8525.HTML

    • 次のレジストリ キーが追加されます。

      HKEY_CURRENT_USER\Software\SWCaller\SWCaller "SWStartPage" = Yes

    • このトロイの木馬は、システム起動時に自身のプログラムが読み込まれるように、レジストリ キーを次のように改変することもあります。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run_"Id8525" = (ディレクトリ名)\ID8525.EXE

    • 'www.( url が入る).cxq'という名前の、さまざまな ascii テキスト ファイルが作成されます。ほとんどの URL は、オランダのサイト( .nl )に関連付けられています。これらのファイルには、特定のポルノ サイトにアクセスするための情報(ユーザ名、パスワードなど)が含まれています。ファイルの例は次のとおりです(一部の文字列を省略してあります)。

      [algemeen]
      Action=connect
      Cached=yes
      Autodisconnect=7200
      DirectCall=yes
      MultiLang=yes
      Lang31=teksten_NL

      [logon]
      ConnDescription=www.(省略).nl
      EntryName=www.(省略).nl
      UserName=(ユーザ名は省略)
      Password=(パスワードは省略)

      [connection]
      UseCountryAndAreaCodes=yes
      CountryID=31
      CountryCode=31
      AreaCode=0906
      PhoneNumber=(省略)
      IP=yes
      RemoteDefaultGateway=yes

      [content]
      LoadURL=http://xxx(省略).nl
      ReturnUrl=http://www.(省略).nl
      ErrorUrl=http://(省略)/pay.asp?(省略)

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のレジストリ キーが存在する
  • 上記のような .CXQ ファイルが存在する

TOPへ戻る

感染方法

  • 実行ファイルが実行されると、マシンの設定を改変する。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る