McAfee for Small Businesses

ウイルス名 危険度 Whitewell 企業ユーザ: 低[要注意] 個人ユーザ: 低[要注意] 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5793 対応定義ファイル (現在必要とされるバージョン) 5793　（現在7109) 対応エンジン 5.3.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Mal/Emogen-Y [Sophos]Trojan.Whitewell [Symantec]Trojan.Win32.Scar.agqx [Kaspersky] 情報掲載日 2009/11/05 発見日（米国日付） 2009/11/04 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 06/18 RDN/Generic.... 06/18 VBS/LoveLett... 06/18 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7109  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る -- 2009年11月4日更新 -- ・以下のWebサイトで注目されたため、危険度を[低（要注意）]に変更しました。 http://www.theregister.co.uk/2009/11/03/trojan_cnc_pokes_facebook/ -- ・Whitewellが実行されると、以下の場所に自身のコピーをドロップ（作成）します。 %Temp%\setup.exe ・さらに、システム起動時に実行されるよう、以下のレジストリ項目を作成します。 HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run キー： "MCAFEEIPS" データ： "%Temp%\setup.exe" 注： %Temp%は可変の場所を指しており、一般的なパスは「C:\Documents and Settings\User_Name\Local Settings\Temp」です。 ・感染すると、www.m.facebook.comに接続します。接続後、攻撃者が作成したプロファイルにログインし、攻撃者からのさらなる命令の受信待機を行って、「bot」のように動作します。 ・攻撃者がマシンに接続すると、ターゲットマシンで以下の動作を実行できます。 システム情報の検索 URLからのファイルのダウンロード プログラムのリモート実行 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・上記のファイルおよびレジストリ項目が存在します。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。 ・IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。 駆除方法 TOPへ戻る ■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン（特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを）を信用しないことを推奨します。 Windows ME/XPでの駆除についての補足