McAfee for Small Businesses

ウイルス名 危険度 Vilsel.gen.f 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5859 対応定義ファイル (現在必要とされるバージョン) 5869　（現在7084) 対応エンジン 5.2.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 BitDefender - Trojan.Generic.2959926 F-Secure - Trojan.Generic.2959926 Kaspersky - Trojan.Win32.Vilsel.qte Microsoft - TrojanDownloader:Win32/Agent.KY 情報掲載日 2010/01/29 発見日（米国日付） 2010/01/12 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・実行時、以下のレジストリ項目が乗っ取ったシステムに追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C34E57C2-3471-4566-8969-266410125902} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C34E57C2-3471-4566-8969-266410125902}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C34E57C2-3471-4566-8969-266410125902}\ProgID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Qxavfztg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Qxavfztg\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C34E57C2-3471-4566-8969-266410125902} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\htfiabhy HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp ・以下のファイルがシステムに追加されます。 %SysDir%\net.net %SysDir%\fpjgxcl.dll [Boaxxeという名前で検出] %SysDir%\munuvof.dll %Temp%Temp\xvsp.tmp\svchost.exe [Boaxxe.drという名前で検出] %WinDir%\Tasks\At1.job %WinDir%\run.log ・上記のダウンロードされたファイルのうち、「At1.job」は、Boaxxeという名前で検出される「fpjgxcl.dll」ファイルを実行するタスクのスケジュールを設定することにより、ファイルを実行します。 ・このジョブファイルは、システムの乗っ取り後の毎週月、火、水、木、金、土、日曜日の午前5時にソースファイルを実行するようスケジュールされています。 ・以下のレジストリ項目がシステムに追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C34E57C2-3471-4566-8969-266410125902}\ProgID\: "Qxavfztg" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C34E57C2-3471-4566-8969-266410125902}\InprocServer32\: "%SysDir%\fpjgxcl.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Qxavfztg\CLSID\: "{C34E57C2-3471-4566-8969-266410125902}" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xmeluaro\Parameters\ServiceDll: "%SysDir%\fpjgxcl.dll" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xmeluaro\ImagePath: "%SystemRoot%\System32\svchost.exe -k netsvcs" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xmeluaro\Description: "Support for Microsoft USB Universal Host Controller Miniport" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xmeluaro\DisplayName: "Microsoft USB Universal Host Controller Miniport Support" ・Vilsel.gen.fが実行されると、以下のリモートサイトに接続し、悪質なコンテンツをダウンロードします。 http://fc.web[削除]pro.com、リモートポート80を使用 94.228.[削除].143、リモートポート443を使用 http://kz[削除].net、リモートポート80を使用 ・以下のレジストリ項目により、システムの復元を無効にします。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR: 0x00000001 ・以下は一般的なパス変数の既定値です。（異なる場合もありますが、一般的には以下のとおりです。） %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% = \Program Files 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記の動作およびレジストリ項目が存在します。 上記のファイルが存在します。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。また、一部の亜種はWebの脆弱性を利用してインストールされます。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足