ウイルス情報

ウイルス名 危険度

Startpage-W

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4300
対応定義ファイル
(現在必要とされるバージョン)
4309 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/10/24
発見日(米国日付) 03/10/22
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・StartPage-WはMSVCで作成されており、Internet Explorerの検索エンジンとメインのホームページの設定を改変するように設計されています。

・これらの改変は、以下のレジストリキーで行われます。

  • Hkey_Current_User\Software\Microsoft\Internet Explorer\Main\
  • Hkey_Current_User\Software\Microsoft\Internet Explorer\Search\
  • Hkey_Local_Machine\Software\Microsoft\Internet Explorer\Main\
  • Hkey_Local_Machine\Software\Microsoft\Internet Explorer\Search\

・名前は異なりますが、サイズと中身が同一の2つのファイルを以下のロケーションに落とし込みます。

  • %Windir%\default.css
  • %Windir%\Web\win.def

・以下のレジストリキーで上記の2つのファイルを参照します。

  • Hkey_Current_User\Software\Microsoft\Internet Explorer\Styles
  • Hkey_Local_Machine\Software\Microsoft\Internet Explorer\Styles

・以下のRUNコマンドで、Wini.iniファイルを改変します。

  • run=C:\windows\..Progra~1\Common~1\Micros~1\Msinfo\info32.exe

・最後に、%Windir%フォルダにHOSTSファイルをドロップ(作成)する、または上書きして、auto.search.msn.comへ向かうすべてのインターネットトラフィックを別のロケーションにリダイレクトします。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のようにInternet Explorerのデフォルトのホームページとレジストリが改変されます。

TOPへ戻る

感染方法

・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る