Symantec Security Response http://securityresponse.symantec.com

種別:	その他のセキュリティリスク
名称:	該当なし
バージョン:	該当なし
ベンダー:	該当なし
影響を受けるシステム:	Windows 2000, Windows NT, Windows Server 2003, Windows XP
リスクインパクト:	低

LiveUpdate™ Plus定義ファイル 2006年06月20日 (米国時間) LiveUpdate™ Daily定義ファイル 2006年06月20日 (米国時間) LiveUpdate™ Weekly定義ファイル 2006年06月21日 (米国時間) Intelligent Updater定義ファイル 2006年06月20日 (米国時間)

このリスクを検出するには、セキュリティリスク (security risks) に対応したシマンテック製品が必要です。セキュリティリスクの詳細については、こちらをご覧ください。

動作
SystemDoctor は、コンピューター上で誇張した脅威の報告を提示する可能性がある、セキュリティリスクです。このプログラムは次に、報告された脅威を駆除するためにソフトウェアの登録されたバージョンを購入するようにユーザーに促します。

症状
シマンテックのプログラムにより SystemDoctor が検出されます。

感染経路
このプログラムは手動でインストールされる可能性があります。

SystemDoctor がコンピュータ上にインストールされると、次のことを行います。

1. 次のファイルを作成します。
   
   
   • C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\SystemDoctor 2006.lnk
   • C:\Documents and Settings\Administrator\Desktop\SystemDoctor 2006.lnk
   • C:\Documents and Settings\All Users\Start Menu\Programs\SystemDoctor 2006 Unregistered Version\Contact customer support.lnk
   • C:\Documents and Settings\All Users\Start Menu\Programs\SystemDoctor 2006 Unregistered Version\SystemDoctor 2006 on the Web.lnk
   • C:\Documents and Settings\All Users\Start Menu\Programs\SystemDoctor 2006 Unregistered Version\SystemDoctor 2006.lnk
   • C:\Documents and Settings\All Users\Start Menu\Programs\SystemDoctor 2006 Unregistered Version\Uninstall SystemDoctor 2006.lnk
   • C:\Program Files\SystemDoctor 2006 Free\Activate.dat
   • C:\Program Files\SystemDoctor 2006 Free\Activate.exe
   • C:\Program Files\SystemDoctor 2006 Free\bnlink.dat
   • C:\Program Files\SystemDoctor 2006 Free\DataBase.sav
   • C:\Program Files\SystemDoctor 2006 Free\hmlink.dat
   • C:\Program Files\SystemDoctor 2006 Free\insthelp.exe
   • C:\Program Files\SystemDoctor 2006 Free\lapv.dat
   • C:\Program Files\SystemDoctor 2006 Free\License.rtf
   • C:\Program Files\SystemDoctor 2006 Free\lock.dat
   • C:\Program Files\SystemDoctor 2006 Free\order.dll
   • C:\Program Files\SystemDoctor 2006 Free\pv.dat
   • C:\Program Files\SystemDoctor 2006 Free\ReportListFile.dat
   • C:\Program Files\SystemDoctor 2006 Free\Sd2006.exe
   • C:\Program Files\SystemDoctor 2006 Free\sd2006url.url
   • C:\Program Files\SystemDoctor 2006 Free\support.url
   • C:\Program Files\SystemDoctor 2006 Free\umain.xml
   • C:\Program Files\SystemDoctor 2006 Free\unins000.dat
   • C:\Program Files\SystemDoctor 2006 Free\unins000.exe
   • C:\Program Files\SystemDoctor 2006 Free\up.dat
   • C:\Program Files\SystemDoctor 2006 Free\updater.dat
   • C:\Program Files\SystemDoctor 2006 Free\updater.exe
   • C:\Documents and Settings\Administrator\Local Settings\Temp\USDR6_0001_D08M0404\
   • C:\Documents and Settings\Administrator\Local Settings\Temp\SystemDoctorFreeSetup.exe
     
     
2. 次のサブキーを作成します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\[RANDOM CLSID]
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemDoctor.Free
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USDR6_is1
   HKEY_LOCAL_MACHINE\SOFTWARE\SystemDoctor 2006 Free
   HKEY_CURRENT_USER\Software\SystemDoctor 2006 Free
   
   
3. 次の値を追加します。
   
   "SystemDoctor 2006 Free" = "C:\Program Files\SystemDoctor 2006 Free\sd2006.exe -scan"
   
   次のレジストリストリサブキーへ
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   これにより、Windows の起動時にこのリスクが実行されるようにします。
   
   
4. コンピュータ上の脅威について誇張したレポートを提示します。このリスクは次に、報告された脅威を駆除するためにソフトウェアの登録されたバージョンを購入するようにユーザーに促します。

以下の手順は、セキュリティリスクに対応したすべてのシマンテック アンチウイルス製品のお客様を対象に記述されています。

1. ウイルス定義を最新版に更新します。
2. システム全体のスキャンを実行します。
3. レジストリに追加されたすべての価を削除します。
   

1. シマンテックアンチウイルスプログラムを開き、システム全体のスキャンを実行します。
   
2. ファイルが検出された場合、使用しているソフトウェアのバージョンに応じて、次のうち 1 つ以上のオプションが表示されます。
   
   注意: このオプションは、セキュリティリスクに対応したバージョンの Norton AntiVirus 製品でのみ表示されます。セキュリティリスクに対応した Symantec AntiVirus Corporate Edition で、セキュリティリスクの検出機能が有効に設定されている場合は、スキャンの結果を知らせるメッセージボックスが表示されるだけです。これについて不明な点がある場合は、ネットワーク管理者に問い合わせてください。
   
   • 除外 (Exclude) (このオプションは推奨しません):このボタンをクリックすると、以後このリスクが検出されないように設定されます。すなわち、このセキュリティリスクはコンピュータ上に保持され、以後駆除対象として検出されることはありません。
     
     
   • 無視またはスキップ (Ignore or Skip):このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。
     
     
   • キャンセル（Cancel）:Norton AntiVirus 2005 で新しく追加されたオプションです。セキュリティリスクを削除できないと判断された場合に表示されます。このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。
     
     実際に脅威を削除するには、次の手順に従ってください。
     • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
     • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
     • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。
       
       
   • 削除 (Delete): このオプションを選択すると、検出されたファイルが削除されます。ただし、場合によっては、削除できないこともあります。
     • 「削除できませんでした」 というメッセージ (またはこれに類するメッセージ) が表示された場合は、手動で削除します。
     • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
     • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
     • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。
       
       

1. [スタート] - [ファイル名を指定して実行] をクリックします。
2. regedit と入力します。
   
   その後、[OK] をクリックします。
   
   注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。
   
   
3. 次のサブキーを選択して削除します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F4BA98A1-0698-4840-A87A-687FFDAC033D}
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemDoctor.Free
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USDR6_is1
   HKEY_LOCAL_MACHINE\SOFTWARE\SystemDoctor 2006 Free
   HKEY_CURRENT_USER\Software\SystemDoctor 2006 Free
   
   
4. 次のサブキーを選択します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   
5. 画面右側で、次の値を削除します。
   
   "SystemDoctor 2006 Free" = "C:\Program Files\SystemDoctor 2006 Free\sd2006.exe -scan"
   
   
6. レジストリエディタを終了します。