発見日: October 10, 2007
更新日: August 21, 2014 1:20:50 AM
種別: Trojan
感染サイズ: 7,680 バイト
影響を受けるシステム: Windows

Trojan.FakeAV は、コンピュータのセキュリティ状態を意図的に偽って報告するトロイの木馬プログラムの検出名です。これらのプログラムは、実際には存在しないマルウェアやセキュリティリスクをコンピュータから駆除するためと偽って、ユーザーにソフトウェアを購入させようと試みます。ユーザーは、クレジットカードを使ってソフトウェアを購入するように継続的に要求されます。プログラムによっては、ユーザーがソフトウェアを購入するまで操作を妨げたり迷惑行為を行うように設計されているものもあります。

クローン
Trojan.FakeAV は、現在インターネット上で最も大量に見られるリスクの 1 つを検出します。毎日、数多くの偽のウイルス対策アプリケーションやセキュリティアプリケーションがリリースされ、さまざまな配布手段を使って疑いを持たないユーザーのもとに届けられています。これらのプログラムの多くは、相互のクローンであることが確認されています。大抵、それらは同じコードベースから作成されますが、「スキン」を使って外観を変えて別の名前が付けられます。最近の例として、2010 年 10 月から出回っている ThinkPoint というミスリーディングアプリケーションがあります。


感染

偽のソフトウェアをインストールして、コンピュータ上に存在しないマルウェアやセキュリティリスクを駆除するように説得しようとする Web サイトを訪問したとき、この種の脅威に遭遇する可能性があります。このトロイの木馬は、他のマルウェアやドライブバイダウンロードによって、またはその他のソフトウェアをダウンロードしてインストールするときにインストールされる可能性があります。

これらのサイトには、次の方法で誘導される可能性があります。

  • リンクまたは添付ファイルを含むスパムメール
  • アダルトビデオへのリンクを含むブログやフォーラム
  • ユーザー作成コンテンツのスパム(偽ビデオなど)
  • 悪質なバナー広告
  • 海賊版ソフトウェア (warez) と成人向けサイト
  • 検索エンジン最適化 (SEO) ポイズニング
  • 偽のトレントファイルやファイル共有ネットワーク上のファイル
  • エクスプロイトを含む Web ページ

このプログラムは、次に示す他の脅威によってコンピュータにダウンロードされる可能性があります。


機能
これらのプログラムは、偽のスキャンダイアログボックスと製品の購入を促す警告メッセージを継続的に表示して、コンピュータのセキュリティ状態を意図的に偽って報告します。

その多くは、デスクトップの通知領域にアイコンを表示し、ウイルス感染などの虚偽のセキュリティ問題をユーザーに警告するポップアップメッセージを絶え間なく表示します。これらのポップアップウィンドウは、ユーザーが製品を購入して、実際には存在しない脅威を侵入先のコンピュータから駆除するまで表示されます。




ユーザーが製品の購入に同意すると、Web サイトにリダイレクトされるか、アプリケーション内でフォームが表示され、クレジットカード情報の入力が要求されます。


アフィリエイトに関する情報
1 つのベンダーがミスリーディングアプリケーション全体の約 80 % に関与していると推測されています。このベンダーはアフィリエイトを採用し、そのアフィリエイトはミスリーディングアプリケーションの拡散と配布作業を下請けに出します。このアプリケーションは、しばしば再構築やブランドの再生 (クローン作成) が行われます。それらは、外観は異なりますが、すべて同じように機能します。たとえば、コンピュータの「スキャン」を実行し、有害なオブジェクトを報告し、偽って報告した脅威を駆除するためと称してプログラムの正規バージョンを購入するようにユーザーに促します。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。








感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。





シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。

ウイルス対策シグネチャ


ウイルス対策 (ヒューリスティック/汎用)


ブラウザ保護
シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。

侵入防止システム (英語)


注意: 2009 年 10 月 5 日 より前のウイルス定義は、この脅威を Trojan.Fakeavalert として検出する可能性があります。

ウイルス対策日

  • Rapid Release 初回バージョン October 22, 2007 リビジョン 040
  • Rapid Release 最新バージョン April 24, 2018 リビジョン 019
  • Daily Certified 初回バージョン October 10, 2007 リビジョン 023
  • Daily Certified 最新バージョン April 24, 2018 リビジョン 016
  • Weekly Certified 初回リリース日 October 17, 2007

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Éamonn Young and Eric Chien

発見日: October 10, 2007
更新日: August 21, 2014 1:20:50 AM
種別: Trojan
感染サイズ: 7,680 バイト
影響を受けるシステム: Windows

1. 防御と回避
1.1 ユーザーの対処と予防策
1.2 オペレーティングシステムとソフトウェアへのパッチの適用

2. 感染方法
2.1 スパムメール
2.2 ソーシャルネットワーキング
2.3 検索エンジンポイズニング
3. 機能
3.1 ポップアップメッセージ
3.2 偽のウイルススキャン
3.3 クローン
4. 追加機能
4.1 デスクトップ偽装
4.2 再起動偽装
4.3 システムエラー偽装
4.4 プログラムの実行妨害
4.5 知名度の高いウイルス対策製品の模造
4.6 虚偽の評価と受賞歴
4.7 プロフェッショナルな外観の製品ページ
4.8 多言語ユーザーインターフェース
4.9 オンラインサポート
5. 追加情報
5.1 アフィリエイト
5.2 資料


1. 防御と回避
この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


1.1 ユーザーの対処と予防策
悪質な内容の電子メールメッセージは、知人から送信されたように見える場合もあります。差出人を知っているからといって、メッセージが安全であるとは限りません。

スパムメールには、偽装されているか、無害に見える悪質なリンクが含まれる可能性があります。次のような電子メールメッセージに含まれるリンクには、特に注意が必要です。

  • 差出人が不明な場合
  • 差出人から判断して、電子メールの特徴が普段と異なる場合
  • リンク先が未知のドメインや実行可能ファイルの場合

信憑性を確認できない場合は、電子メールに添付されたファイルを開かないようにしてください。

ピアツーピア型のファイル共有ネットワークを使用したファイルのダウンロードは、感染につながる危険性があります。未知、または信頼できないソースからのファイルをダウンロードしないようにします。これには、ストリーミングビデオを観るために必要なコーデックと見せかけて、トロイの木馬の実行可能ファイルを提供する可能性がある偽の動画サイトなども含まれます。

コンテンツ管理や品質チェックが適切に行われていないと思われるブログやフォーラムなどの Web サイトでは、リンクをクリックする際に警戒することで、感染のリスクを軽減することができます。通常、マウスポインタをリンクの上に乗せるなどの基本的なチェックにより、リンク先を確認することができます。また、Norton セーフウェブ などのオンライン Web サイト評価サービスを利用して、そのサイトの安全性を確認することもできます。

検索エンジンで検索を実行するときは、検索結果を慎重に扱い、リンクをクリックする前に再確認します。ポップアップ広告が表示される場合は、その広告をクリックしたり、広告内のリンクをクリックしないようにします。

Web の閲覧中にポップアップやその他の手段で未知のセキュリティ製品を勧められた場合は、細心の注意を払う必要があります。疑わしい場合は、そのソフトウェアをダウンロードしたりインストールしないでください。一般に、知名度の高いブランドや信頼のおけるブランドのサイトで購入したり、地元の販売店でも購入できるような製品を購入するほうが安全といえます。

Trojan.FakeAV のインストーラコンポーネントには、次のファイル名がよく使用されます。次にリストしたファイル名と同じ、または類似したプログラムをダウンロードしたり実行しないようにしてください。
  • Av.exe
  • Ave.exe
  • Contract.exe
  • Ecard.exe
  • Eticket.exe
  • Install.exe
  • Invoice.exe
  • Msa.exe
  • Msb.exe
  • Postcard.exe
  • Settings.exe
  • Video[1].exe



1.2 オペレーティングシステムとソフトウェアへのパッチの適用
オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策とファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、最新のパッチや更新プログラムが利用可能になったときにコンピュータが受信できるようにしておきます。



2. 感染方法
この脅威は、さまざまな方法でコンピュータに感染することが確認されています。それらの方法について、詳細に説明します。


2.1 スパムメール
スパムメールは、このようなプログラムの配布に用いられる主要手段の 1 つです。スパムメールの内容は頻繁に変更され、更新されます。次に、このようなプログラムの配布に使用されるメールの代表的なサンプルをいくつか示します。

件名
Update for Microsoft Outlook / Outlook Express (KB910721)

添付ファイル
officexp-KB910721-FullFile-ENU.zip

または

件名
A new settings file for the [電子メールアドレス]@ [ドメイン].com has just be released

本文
Dear use of the [ドメイン].com mailing service!

We are informing you that because of the security upgrade of the mailing service your mailbox [電子メールアドレス]@ [ドメイン].com settings were changed. In order to apply the new set of settings open this file:

http://[ドメイン名]/settings.exe
Best regards, [ドメイン].com Technical Support.





または

件名
Conficker.B Infection Alert

本文
Dear Microsoft Customer,

Starting 12/11/2009 the 'Conficker' worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.

To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.

Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.

Regards,
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division

添付ファイル
open.zip





過去に使用されたトピック
シマンテックは、この脅威ファミリーの亜種を配布するために使用されたスパムメールでは、次のトピックが使用されたことを確認しました。
  • セキュリティアップグレード
  • Conficker (Downadup) ワーム


2.2 ソーシャルネットワーキング
ソーシャルネットワークサイトの利用が急増すると、マルウェア作成者はより広範な人々に接触する手段としてこれらのサービスを利用するようになりました。ミスリーディングアプリケーションをホストするサイトをポイントする更新を投稿するために Facebook や Twitter のプロファイルがハックされています。このようなケースでは、人気のあるビデオやわいせつなコンテンツなどが利用される可能性があります。











2.3 検索エンジンポイズニング
これらのプログラムのベンダーは、しばしば、インターネットやメディアで相当数の関心を集めている注目度の高いニュースやイベントを利用します。実際に、ニュース性の高い話題が報道されるたびに、そのような話題への関心の高さを悪用してマルウェアが出回るという現象は、現在繰り返されている残念な傾向です。最近の例を次に示します。

Icelandic volcano (検索結果)




Rozlyn Papa (サンプル動画リンク)





Chilean earthquake (検索結果)





Californian earthquake (検索結果)





Hawaii tsunami (検索結果)




Tiger Woods motoring accident
偽のセキュリティソフトウェアベンダーは、しばしば、大災害、スポーツイベント、有名人のスキャンダルなど、世界規模の主要イベントに対する関心を利用します。

このようなイベントが発生すると、それに関連するキーワードを使った Web 検索件数が増加することにより、関心の高さがしばしばインターネットに反映されます。たとえば、2009 年 11 月に起きたタイガーウッズの事故発生時には、事故関係者の名前や居住地域などを含む事故に関連した検索用語が、有名な検索エンジンで検索された用語ランキングの上位に入りました。ミスリーディングアプリケーションの作者は、その機会を逃すことなく検索エンジンポイズニングを実行しました。





ユーザーがそれらの用語で検索すると、その検索結果に悪質なリンクが含まれている可能性があります。リンクをクリックすると、ミスリーディングアプリケーションをホストするサイトにリダイレクトされる可能性があります。

Google のこちら のサイトには、常時ポピュラーな検索用語が表示されます。これらの用語が検索エンジンポイズニングに悪用され、最終的にミスリーディングアプリケーションをホストするサイトに誘導される可能性もあります。

ポイズニング被害にあった検索エンジンのリンクには、検索トピックに関連する動画を提供するものもあります。ただし、この動画はすぐには再生されません。





その代わりに、ユーザーは動画を再生するためのファイルをダウンロードして実行するように指示されます。このファイルは、コーデック、Flash インストーラファイル、または ActiveX コントロールと紹介されている可能性がありますが、実際にはミスリーディングアプリケーションのコピーです。








このようなケースでは、ポイズニング被害にあった検索結果は、ブラウザウィンドウ内で偽のスキャンを実行する偽のオンラインセキュリティスキャンをホストするサイトにブラウザをリダイレクトします。この偽のスキャンは、正規の Windows オペレーティングシステムのウィンドウに見えるように設計されています。そのウィンドウには、通常 Windows がインストールされたコンピュータに見られるアイコン、プログレスバー、およびドライブ名やフォルダ名が含まれる可能性があります。





スキャンが終わると、このプログラムは虚偽の検出ファイルリストを表示します。








この偽のスキャンウィンドウは、Windows XP、Windows Vista、および Windows 7 を含む Microsoft Windows オペレーティングシステムの異なるバージョンの外観をまねて作られていてます。

続いて、偽って報告した脅威を駆除するためと称してソフトウェアを購入するようにユーザーに指示する可能性があります。





シマンテックは、上記のセクションで解説したいくつかの感染テクニックを説明したビデオ (英語) を作成しました。このビデオでは、虚偽の検出の危険度を高く見せるために、この脅威が使用する悪質なトリックもいくつか紹介しています。



3. 機能
ユーザーのコンピュータにプログラムをインストールするためにベンダーが用いるテクニックについては前述しました。このプログラムは、インストールされると直ちに詐欺行動を開始します。


3.1 ポップアップメッセージ
これらのプログラムは、偽って報告したさまざまな脅威を駆除するためと称して、ユーザーにアプリケーションのライセンスを購入させようと試みます。コンピュータのスキャンを実行することを許可するように要求するポップアップ警告を表示します。これらのポップアップ警告は、ユーザーがスキャンの実行を許可するまで定期的に表示されます。
















3.2 偽のウイルススキャン
ユーザーがそのプログラムにコンピュータのスキャンを開始することを許可すると、次のようなさまざまな方法でそれを実行します。
  • 検出結果が変化する偽のスキャンを実行し、常に有害なオブジェクトを最低 1 つは検出する。
  • 実際にコンピュータをスキャンして、有害な要素であると報告される無害なオブジェクトが含まれるデータベースを使用する。
  • 感染に関するセキュリティベンダーの記述を解析することにより有害な要素のデータベースを作成する。
  • ファイルを投下して、そのファイルを検出させる。








スキャンが完了すると、さまざまなファイル (最低でも 1 つ以上) が表示され、それらはマルウェアとして検出されています。

このプログラムは、侵入先のコンピュータ上の疑わしい脅威の存在を報告した後、ユーザーに対して、使用しているプログラムが試供版であり、報告された脅威を駆除するためにはアクティベートする必要があると通知します。





ユーザーは、ソフトウェアをアクティベートするためのライセンスを購入することを要求されます。一般に、その費用は最高で 100 米ドル程度です。アクティベーション価格はライセンスの期間、テクニカルサポートが含まれているかどうかによって異なります。





3.3 クローン
これらのミスリーディングアプリケーションは、絶えずクローンが作成され、プロフェッショナルに見せかけるために高い水準で作成された新しいユーザーインターフェースで再構築されます。

この文書の記述時点で流布しているミスリーディングアプリケーションの例を次に示します。

VirusDoctor




VirusProtector




PCDefender





4. 追加機能
これらのプログラムは、ライセンスを購入させるために、さまざまなテクニックを使ってユーザーを苛立たせたり、脅したり、困らせたりします。


4.1 デスクトップ偽装
SecurityToolFraud は、定期的に侵入先のコンピュータを再起動させます。コンピュータを再起動すると、このプログラムはデスクトップ全体に黒いウィンドウを表示し、デスクトップ、アイコン、壁紙が削除されたように見せかけます。





4.2 再起動偽装
Antivirus2010 は、次の誤解を招くような画像を表示し、ユーザーが使用しているミスリーディングアプリケーションのバージョンが登録されていないと報告します。この画像は、コンピュータが再起動しているように見せかけながら、実際には再起動しません。





4.3 システムエラー偽装
NortelAntivirus という名前のミスリーディングアプリケーションが採用するもう 1 つの手法は、ブルースクリーン (BSOD) を表示することです。このプログラムは、実際に BSOD を発生させるのではなく、正規のエラー発生時に Windows で表示される画面に似せた偽のアニメーションを表示するだけです。





4.4 プログラムの実行妨害

SecurityToolFraud は、メモ帳などのアプリケーションを実行するための要求を遮断する機能を備えていて、Notepad.exe が感染した(このケースでは、Lsas.Blaster.Keyloger に感染)などの虚偽の報告をします。感染を報告した後、プログラムへのアクセスを妨害して事実上サービス拒否を実行し、ウィンドウを閉じます。このミスリーディングアプリケーションは、Microsoft ペイントやレジストリエディタなど、広く普及している多種多様なアプリケーションで、このような種類の操作を実行する可能性があります。





4.5 知名度の高いウイルス対策製品の模造
NortelAntivirus は、Norton AntiVirus と同じ外観を持つように設計されました。その他の知名度の高いウイルス対策製品のクローンが存在することも確認されています。








4.6 虚偽の評価や受賞歴
ベンダーは、ミスリーディングアプリケーションに対する虚偽の評価を掲載した Web サイトを作成する可能性があります。その Web サイトでは、このミスリーディングアプリケーションが他の有名なウイルス対策製品よりも優れていると宣伝する可能性があります。また、その製品が権威のあるさまざまな賞を受賞したことがあり、知名度の高いさまざまなソフトウェア雑誌から高く評価されているなど、偽って公表している可能性もあります。





4.7 プロフェッショナルな外観の製品ページ
ユーザーの購買意欲を高めるために、これらのアプリケーションの多くは、プロフェッショナルにデザインされた製品 Web ページを用意しています。これらの Web サイトは、本物らしく見えるように、正規のウイルス対策ベンダーの Web サイトからテクニックとコンテンツを借用しています。





4.8 多言語のユーザーインターフェース
正規のアプリケーションであるという印象を高めるために、ユーザーインターフェースの複数言語サポートを提供するバージョンもあります。





4.9 オンラインサポート
ミスリーディングアプリケーション詐欺操作を支えるプロ意識を証明するために、実際に人によるオンラインサポートを提供しているバージョンもあります。シマンテックは、ミスリーディングアプリケーションベンダーがユーザーに製品を購入するようにしむけるために、どのように人によるオンラインサポートを提供しているかを説明したブログ記事 (英語) を公開しています。この詐欺ビジネスモデルがどれだけ巧みに構築されているかがわかります。





要約すれば、これらのすべての手法は、ミスリーディングアプリケーションベンダーが目的を促進するために利用できる強力で効果的なテクニックの蓄積であるといえます。



5. 追加情報


5.1 アフィリエイト

1 つのベンダーがミスリーディングアプリケーション全体の約 80% に関与していると推測されています。このベンダーは、次の名前を含む多くのエイリアスで知られています。
  • Bakasoftware
  • Pandora Software
  • New Concept Business S.L.
  • Innovagest 2000


ベンダーやアフィリエイトは、ミスリーディングアプリケーションをホストして配布する Web サイトを作成します。一般に、これらのアフィリエイトには、さらに下請けをする別のアフィリエイトが存在します。そのため、プログラムがコンピュータにインストールされるまでの間に、アフィリエイトによって他のマルウェアに再パッケージされる可能性もあります。

アフィリエイトは、偽のセキュリティソフトウェアの作成から最終生産の間でさまざまな形で利用され、次の役割が含まれる可能性があります。
  • アプリケーションプログラマ – プログラマの役割は、プログラム内で使用されるコードベースを記述して保守することです。
  • デザイナ – デザイナは、プログラムのユーザーインターフェースと警告ウィンドウを設計します。
  • パッカー作成者 – パッカー作成者の役割は、ウイルス対策製品からの検出から逃れる方法を作り出すことです。


アプリケーションは、しばしばクローンとしてブランドの再生が行われます。クローンは、次のフォーマットのどれでも採用できます。
  • 同じユーザーインターフェース (UI) を異なるコードベースにする
  • 同じコードベースで異なる UI を作成する
  • 別のカスタムパッカーを使用する


クローンは、1 日から 1 週間単位でリリースされ、コードベースは 1 週間から 1 か月ベースで変更されます。アフィリエイトは、前述したテクニックを使用してミスリーディングアプリケーションを配布する役割を果たします。


5.2 資料
この脅威ファミリーに関連する追加情報については、次の文書を参照してください。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Éamonn Young and Eric Chien

発見日: October 10, 2007
更新日: August 21, 2014 1:20:50 AM
種別: Trojan
感染サイズ: 7,680 バイト
影響を受けるシステム: Windows

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



Norton (個人向け) 製品のお客様
お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。


駆除ツール


感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


ビジネス (企業、法人向け) 製品のお客様
お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。


疑わしいファイルの特定と提出
提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


駆除ツール

感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



手動による駆除
以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。


1. システムの完全スキャンの実行
Symantec Full System Scan User Guide (英語)


2. レジストリの設定の復元
レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。

記述: Éamonn Young and Eric Chien