Trojan.JS.Offensiveは、.htmlファイル形式のトロイの木馬です（インターネット上のWebページの場合もあります）。

このトロイの木馬はActiveXの機能を悪用して、ブラウザのホームページを改変したり、システムへのアクセスを厳しく制限したりします。このトロイの木馬を実行してしまった場合、コンピュータの専門家に対応策を求めるか、あるいは、Windowsを再インストールする必要があります。

Microsoft 社はこのトロイの木馬などが使用するセキュリティに関する脆弱性を排除する修正プログラムを配布しています。この修正プログラムはこちらから入手することができます。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-075

種別: トロイの木馬

感染サイズ: 1つの .htmlファイル

対応日(Intelligent Updater)* 01/08/20(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 0-49 報告件数: 0-2 地域感染度: 低 対処レベル: 高 駆除: 困難

危険性評価グラフ 被害状況: 低 ダメージ: 低 感染力: 低

Trojan.JS.Offensive

Trojan.JS.Offensiveは、.htmlファイル形式のトロイの木馬です（インターネット上のWebページの場合もあります）。

このトロイの木馬はActiveXの機能を悪用して、ブラウザのホームページを改変したり、システムへのアクセスを厳しく制限したりします。このトロイの木馬を実行してしまった場合、コンピュータの専門家に対応策を求めるか、あるいは、Windowsを再インストールする必要があります。

Microsoft 社はこのトロイの木馬などが使用するセキュリティに関する脆弱性を排除する修正プログラムを配布しています。この修正プログラムはこちらから入手することができます。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-075


種別: トロイの木馬

感染サイズ: 1つの .htmlファイル

発見日: 01/08/20

対応日: 01/08/20

危険性の評価:

被害状況:
低 ダメージ:
高 感染力:
低

被害状況

感染台数: 0-49
報告件数: 0-2
地域感染度: 低
対処レベル: 高
駆除: 困難

--------------------------------------------------------------------------------

テクニカルノート:

現象

・スタートメニュー内の大多数のオプションが、テキストファイルアイコン付きで表示されます。
・Windowsのデスクトップにアイコンが何も表示されなくなります。
・プログラムを何も起動できなくなります。
・Windowsを終了できなくなり、終了しようとすると、セキュリティ設定のため終了できないというメッセージが表示されます。
・Windowsをセーフモードで起動しても上記の現象は解消しません。

活動内容
Trojan.JS.Offensiveがアクティブになると、次のレジストリキーと値が追加されます。

キー：
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer
値：
RestrictRun
NoChangeStartMenu
NoClose
NoDrives
NoDriveTypeAutoRun
NoFavoritesMenu
NoFileMenu
NoFind
NoFolderOptions
NoInternetIcon
NoRecentDocsMenu
NoLogOff
NoRun
NoSetActiveDesktop
NoSetFolders
NoSetTaskbar
NoWindowsUpdate
Nodesktop
NoViewContextMenu
NoNetHooD
NoEntioeNetwork
NoWorkgroupContents
NoSaveSettings

キー：
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System
値：
DisableRegistryTools
NoConfigPage
NoDevMgrPage
NoDispAppearancePage
NoDispScrSavPage
NoDispBackgroundPage
NoDispSettingsPage
NoFileSysPage
NoVirtMemPage

キー：
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\WinOldApp
値：
NoRealMode
Disabled

キー：
HKEY_CURRENT_USER\Software\Microsoft\
InternetExplorer\Main\Window Title

HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Explorer\Main\Window Title
値：
Window Title
Start Page

キー：
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Winlogon
値：
LegalNoticeCaption
LegalNoticeText

キー：
HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Explorer\Extensions\
{C18CB140-0BBB-11D4-8FE8-0088CC102438}
値：
ButtonText
CLSID
DefaultVisible
Exec
MenuStatusBar
MenuText

キー：
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\MenuExt\how to * japanese

キー：
HKEY_CLASSES_ROOT\Drive\shell\how to * japan

キー：
HKEY_LOCAL_MACHINE\Software\CLASSES\.exe
HKEY_LOCAL_MACHINE\Software\CLASSES\.reg
HKEY_LOCAL_MACHINE\Software\CLASSES\.htm
HKEY_LOCAL_MACHINE\Software\CLASSES\.html
HKEY_LOCAL_MACHINE\Software\CLASSES\.txt
HKEY_LOCAL_MACHINE\Software\CLASSES\.inf
HKEY_LOCAL_MACHINE\Software\CLASSES\.dll
HKEY_LOCAL_MACHINE\Software\CLASSES\.ini
HKEY_LOCAL_MACHINE\Software\CLASSES\.sys
HKEY_LOCAL_MACHINE\Software\CLASSES\.com
HKEY_LOCAL_MACHINE\Software\CLASSES\.bat
値：
(標準) のデータがtextfileに設定される

キー：
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
値：
internat.exe
ScanRegistry
TaskMonitor
SystemTray
LoadPowerProfile

キー：
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
値：
LoadPowerProfile
SchedulingAgent

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

Trojan.JS.Offensiveの駆除方法は、このトロイの木馬が既に実行されているかどうかにより異なります。

トロイの木馬がまだ実行されていない場合：

1. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
   
2. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認し、システム全体のスキャンを実行します。
   
3. Trojan.JS.Offensive として検出されたファイルをすべて削除します。
   

トロイの木馬が既に実行されてしまった場合：
Trojan.JS.Offensive はシステムに深刻なダメージを与えるトロイの木馬です。このトロイの木馬が実行されてしまった場合、ユーザはNorton AntiVirusも含むすべてのプログラムを何も実行できなくなります。このような状態に陥ったシステムを復旧するには、必ず次の作業を行う必要があります。

• Trojan.JS.Offensiveとして検出されたファイルをすべて削除する。
  この作業を行うためには、DOSからシステムを起動し（ご使用のOSで許可されている場合）、救済ディスクセットを使ってトロイの木馬を駆除する必要があります。
  
  
• Trojan.JS.Offensiveによって作成されたレジストリ値をすべて削除する。
  このトロイの木馬が実行されてしまった場合、この作業をWindows上で行うことは不可能です。このような場合、コマンドプロンプトでシステムを起動し、コマンドラインから変更を行う以外にレジストリキーを削除することはできません。この作業は非常に難解で時間もかかるため、当社ではお勧めしていません。代替手段として、バックアップからレジストリを復元するか、あるいはWindowsを再インストールすることをお勧めします。必要であれば、コンピュータの専門家に作業を依頼してください。
  

シマンテックでは Trojan.JS.Offensive によってダメージをうけたコンピュータを起動可能にする　修復用レジストリファイルを作成いたしました。ファイルの入手と使用方法の説明はこちらのページをご覧ください。