発見日: May 28, 2009
更新日: July 11, 2013 8:19:12 AM
別名: Troj/FakeAV-BYW [Sophos]
種別: Trojan
感染サイズ: 51,200 バイト
影響を受けるシステム: Windows
CVE 識別番号: CVE-1999-1224 | CVE-2007-1775 | CVE-2008-1084 | CVE-2008-2463 | CVE-2006-0003

Trojan.Bredolab は、インターネットからファイルをダウンロードして実行するトロイの木馬です。このトロイの木馬は、電子メールまたはドライブバイダウンロードによってコンピュータに届く可能性があります。また、いくつかの回避テクニックを使って検出から逃れようと試みます。


感染

Bredolab は、次の 2 つの主要手段を使って配布されることが確認されています。

  • ドライブバイダウンロード
  • 電子メール


ドライブバイダウンロードは、エクスプロイトが仕込まれた Web サイトをユーザーが訪問したときに発生します。このエクスプロイトによって、ユーザーの許可を得ることなく、コンピュータにマルウェアがダウンロードされます。

電子メール電子メールによる配布では、ソーシャルエンジニアリング手法を用いてユーザーに添付ファイルを開かせるように誘導します。すべての電子メールは、ユーザーを欺くためにできるだけ本物に見えるように細工されています。また、この脅威は、メッセージ本文と添付ファイルの名前を少しだけ変更してテーマを再利用することがよくあります。たとえば、次のようなテーマが確認されています。

  • Western Union の金銭提供
  • UPS の配送問題
  • Shop.corsair.com の出荷確認
  • Facebook のパスワード変更


機能

この脅威の主要機能は、侵入先のコンピュータに追加のマルウェアをダウンロードすることです。この脅威の作成者は、マルウェアを配布して金儲け をしようと試みるアフィリエイトに関連している可能性があります。この脅威は、収益を上げるために売られたり、レンタルされることもあるボットネットワークの構築に利用される可能性があります。


自己防御
また、次の技法を用いて検出を回避します。
  • サーバー側ポリモーフィズム - この脅威は、パッキング方法と外観を常に変化させて検出を回避します。
  • デバッグ対策 - この脅威は、デバッグ環境で実行されているかどうかを判断するチェックを実行します。
  • 符号化された通信 - この脅威とリモートサーバーとのすべての通信は暗号化されます。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。








感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。






シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ


ウイルス対策 (ヒューリスティック/汎用)



    ブラウザ保護

    シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。

    ウイルス対策日

    • Rapid Release 初回バージョン May 28, 2009 リビジョン 022
    • Rapid Release 最新バージョン March 18, 2019 リビジョン 023
    • Daily Certified 初回バージョン May 28, 2009 リビジョン 023
    • Daily Certified 最新バージョン March 19, 2019 リビジョン 007
    • Weekly Certified 初回リリース日 June 03, 2009

    Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

    記述: Éamonn Young, Mario Ballano, and Takashi Katsuki

    発見日: May 28, 2009
    更新日: July 11, 2013 8:19:12 AM
    別名: Troj/FakeAV-BYW [Sophos]
    種別: Trojan
    感染サイズ: 51,200 バイト
    影響を受けるシステム: Windows
    CVE 識別番号: CVE-1999-1224 | CVE-2007-1775 | CVE-2008-1084 | CVE-2008-2463 | CVE-2006-0003

    1. 防御と回避
    1.1 ユーザーの対処と予防策
    1.2 オペレーティングシステムとソフトウェアへのパッチの適用
    1.3 特定アドレスへのアクセスのブロック
    2. 感染方法
    2.1 ドライブバイダウンロード
    2.2 電子メール
    2.3 Web サイト
    3. 機能
    3.1 システムの変更
    3.2 ネットワーク関連操作
    3.3 その他の機能
    4. 追加情報



    1. 防御と回避
    この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


    1.1 ユーザーの対処と予防策
    コンテンツ管理や品質チェックが適切に行われていないと思われるブログやフォーラムなどの Web サイトでは、リンクをクリックする際に警戒することで、感染のリスクを軽減することができます。通常、マウスポインタをリンクの上に乗せるなどの基本的なチェックにより、リンク先を確認することができます。Norton セーフウェブ などのオンライン Web サイト評価サービスを利用して、そのサイトの安全性を確認することができます。

    悪質な内容の電子メールメッセージは、知人から送信されたように見える場合もあります。差出人を知っているからといって、メッセージが安全であるとは限りません。次のような電子メールメッセージに添付されたファイルには、特に注意が必要です。

    • 差出人が不明な場合
    • 差出人から判断して、電子メールの特徴が普段と異なる場合
    • 不明なドメインへのリンクや実行可能ファイルが含まれる電子メッセージ

    信憑性を確認できない場合は、電子メールに添付されたファイルを開かないようにしてください。


    1.2 オペレーティングシステムとソフトウェアへのパッチの適用
    オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策ソフトウェアおよびファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、最新のパッチや更新プログラムが利用可能になったときにコンピュータが受信できるようにしておきます。

    この脅威は、次の脆弱性 (英語) を悪用して侵入先のコンピュータのセキュリティ設定を低下させることが確認されています。
    Microsoft Windows Kernel Usermode Callback Local Privilege Escalation Vulnerability (BID 28554)

    また、この脅威は特定の脆弱性を悪用して拡散することも確認されています。次の脆弱性 (英語) に対応したパッチを適用することで、コンピュータに対するリスクを軽減できます。


    1.3 特定アドレスへのアクセスのブロック
    この脅威はリモートの制御サーバーと通信します。ファイアウォールやルーターを利用して次のアドレスへのアクセスをブロックするか、ローカルの hosts ファイルにエントリを追加して、次のアドレスを 127.0.0.1 にリダイレクトするようにします。
    • 213.155.4.112
    • 213.155.4.80
    • 213.155.6.32
    • 213.155.6.80
    • 213.155.6.85
    • 58.65.235.41
    • 78.109.29.112
    • 78.109.29.116
    • 91.207.61.12
    • abbcp.cn
    • dollaradmin.ru
    • dollarpoint.ru
    • ghthchinalimited.com.cn
    • mudstrang.ru
    • turokgame.cn
    • verringo.cn



    2. 感染方法
    Bredolab は、次の 2 つの主要手段を使って配布されることが確認されています。
    • ドライブバイダウンロード
    • 電子メール


    この脅威による上記手段の使用方法について、次のセクションで詳細に説明します。


    2.1 ドライブバイダウンロード
    Trojan.Bredolab は、Web ブラウザやプラグインの既知の脆弱性を悪用する Web サイトによって拡散されることが確認されています。これには、闇市場で入手可能なエクスプロイトキット (Eleonore、Fragus 、 Phoenix など) が利用されることが多く、高度な専門技能を持った個人でなくてもそのような Web サイトを作成することができます。これらのキットで使用されるエクスプロイトは、意図的にモジュール化されるため変化します。つまり、攻撃者は自分の Web サイト用の新しいエクスプロイトを、それが入手可能になったときに購入することができます。

    ドライブバイダウンロードは、エクスプロイトが仕込まれた Web サイトをユーザーが訪問したときに発生します。このエクスプロイトによって、ユーザーの許可を得ることなく、コンピュータにマルウェアがダウンロードされます。また、この手法では、次の技術を標的にした複数のエクスプロイトを使用して、成功率を高めることができます。
    • ActiveX
    • DirectShow
    • Flash
    • PDF
    • Snapshotviewer


    また、標的となるコンピュータは、通常そのコンピュータが侵害されるまで複数の脆弱性を攻撃されます。これは、利用可能なあらゆる手段を使ってコンピュータに侵入するという攻撃者の意思表示と言えます。


    2.2 電子メール
    電子メールによる配布では、ソーシャルエンジニアリング手法を用いてユーザーに添付ファイルを開かせるように誘導します。すべての電子メールは、ユーザーを欺くためにできるだけ正規のものに見えるように細工されています。

    これまでに確認されたテーマには、無料の金銭提供、配達問題の通知、Facebook のパスワードの更新要求などが含まれます。また、この脅威はそれらのテーマを後で再利用することもよくあります。たとえば、この脅威は 2009 年 5 月頃、Western Union の送金請求書を装うというテーマを使用しました。その後、2009 年 8 月の終わりに同じテーマが再度使われていることを観測し始めました。これも Western Union の送金に関する通知を装った電子メールでしたが、添付ファイルの名前とメッセージの内容に多少の変更が加えられていました。

    添付ファイルは、通常 .zip ファイルです。このようなファイルが添付されている場合、インターネットユーザーは直ちに警戒するようにしてください。一般に、.zip ファイルには Microsoft Excel や Microsoft Word などの一般的なプログラムのアイコンを持つ .exe ファイルが含まれます。.zip ファイルの名前は、通常、そのファイルに含まれる .exe ファイルと同じ名前です。.exe ファイルが開かれると、この脅威は自身のペイロードを実行します。





    Bredolab の電子メールが複数の異なるソースから送られたことが発覚したとき、スパムボットや類似のマルウェアに感染したと思われるコンピュータから Bredolab の電子メールが送信されたのではないかと疑われるようになりました。実際に、最近のマルウェアは、相互に協力しあって拡散する傾向にあることから、Trojan.Pandex (別名 Pushdo/Cutwail) などの複数のスパムボットやマルウェアが Bredolab メールの配布に関わっている可能性が高いと考えられます。


    過去に使われたトピック
    シマンテックでは、この脅威ファミリーの拡散を目的とした電子メールで、次のトピックが使用されたことを確認しました。
    • Western Union の金銭提供
    • UPS の配送問題
    • Shop.corsair.com の出荷確認
    • Facebook のパスワード変更


    この脅威の拡散に使用された代表的な電子メールのサンプルを次に示します。





    件名
    Western Union Transfer MTCN: [ランダムな数字]


    電子メール本文
    Dear client!

    The money transfer you have sent on the 9th of April has not been received by the recipient.
    Due to the Western Union agreement the transfers which are not collected in [数字] business days are to be returned to sender.
    To collect cash you need to print the invoice attached to this e-mail and visit the nearest Western Union branch.

    Thank you!


    添付ファイル
    次のいずれかが添付されます。





    件名
    Postal Tracking #[ランダムな文字列と数字]


    電子メール本文
    Hello!

    We were not able to deliver postal package you sent on the 14th of March in time
    because the recipients address is not correct.
    Please print out the invoice copy attached and collect the package at our office.

    Your United Parcel Service of America


    添付ファイル
    次のいずれかが添付されます。


    件名
    UPS Delivery problem NR 7861201


    電子メール本文
    Dear customer!

    We were not able to deliver the postal package which was sent on the 26th of April in time
    because the addressee's address is not correct.
    Please print out the invoice copy attached and collect the package at our office.

    Your United Parcel Service of America





    件名
    UPS Tracking Number W1EYBUS


    電子メール本文
    Hello!

    We were not able to deliver the package which was sent on the 24th of July in time because the recipients address is incorrect.
    Please print out the invoice copy attached and collect the package at our department.

    Your United Parcel Service of America


    添付ファイル
    UPSNR_05fa2628.zip





    件名
    Shipping confirmation for order 71766


    電子メール本文
    Hi!

    Thank you for shopping at our internet store!
    We have successfully received your payment.
    Your order has been shipped to your billing address.
    You have ordered Apple iMac MB419LL.
    You can find your tracking number in attached to the e-mail document.
    Please print the label to get your package.

    We hope you enjoy your order!
    Shop.corsair.com


    添付ファイル
    次のいずれかが添付されます。
    • D[9 桁の文字列].zip
    • M[8 桁の文字列].zip





    件名
    件名は次のいずれかです。
    • Facebook Update Tool
    • Facebook account update
    • Facebook Account Update
    • Facebook Password Reset Confirmation.
    • Facebook Password Reset Confirmation. Customer Message.
    • Facebook Password Reset Confirmation. Customer Message.
    • Facebook Password Reset Confirmation. Customer Support.
    • Facebook Password Reset Confirmation. Important Message
    • Facebook Password Reset Confirmation. Support Message.
    • Facebook Password Reset Confirmation. Your Support.


    電子メール本文
    Hey [電子メールユーザー名],

    Because of measures taken to provide safety to our clients, your password has been changed. You can find your new password in attached document.

    Thanks,
    The Facebook Team



    添付ファイル
    Facebook_Password_[5 桁のランダムな文字列].zip


    2.3 Web サイト

    この脅威ファミリーの拡散をホストまたは支援していることが確認されているアドレスを次に示します。
    • 213.155.4.112
    • 213.155.4.80
    • 213.155.6.32
    • 213.155.6.80
    • 213.155.6.85
    • 58.65.235.41
    • 78.109.29.112
    • 78.109.29.116
    • 91.207.61.12
    • abbcp.cn
    • dollaradmin.ru
    • dollarpoint.ru
    • ghthchinalimited.com.cn
    • mudstrang.ru
    • turokgame.cn
    • verringo.cn

    Web サイトを介した拡散では、次の脆弱性 (英語) が使用されています。



    3. 機能

    この脅威の主要機能は、侵入先のコンピュータに追加のマルウェアをダウンロードすることです。





    このトロイの木馬が実行されると、リモートの Command and Control (C&C) サーバーと通信を開始します。すべての通信を符号化して、人目を避け、ウイルス対策製品による検出を回避します。続いて、要求を送信してこのサーバーからファイル (エンティティと呼ばれます) をダウンロードします。その後、ファイルは直ちに実行されるか、次のロケーションに保存され、後で実行されます。

    %Windir%\Temp\wpv[2 桁のランダムな数字][エンティティ ID].exe

    注意: [エンティティ ID] は、ダウンロードされたファイルを識別してトラックするためにこの脅威が各ファイルに割り当てる 10 桁の 10 進数です。

    その後、どのファイルが正しく実行されたかをリモートの制御者に報告します。この情報は、この脅威によって作成される次のいずれかのログファイルに保存されます。

    • C:\Documents and Settings\All Users\Application Data\wiaserv[1 桁のアルファベット文字].log
    • C:\Documents and Settings\All Users\Application Data\wiaserv[2 桁のアルファベット文字].log


    この脅威が使用したログファイルの名前の例を次に示します。
    • wiaserva.log
    • wiaservg.log
    • wiaservim.log
    • wiaserviv.log


    ログファイルの名前には、各ダウンロードファイルの [エンティティ ID] と 4 つのフラグが含まれます。フラグは、ファイルの次の 4 つの状態を示します。

    • 最初の実行の成功
    • 最初の実行の失敗
    • 再実行の成功
    • 再実行の失敗


    この情報を記録することにより、Bredolab はダウンロードしたファイルが侵入先のコンピュータに問題なくインストールされたか、または、有害なファイルのダウンロードを再試行する必要があるかどうかを知ることができます。

    Bredolab がインストールすることが確認されている脅威を次に示します。


    3.1 システムの変更
    この脅威ファミリーによって侵害されたコンピュータ上では、次の副次的な影響が観測される可能性があります。

    注意: 関連する脅威による副次的な影響は、この文書には含まれません。


    作成されるファイル
    この脅威は、正規のファイルに見せかけ、Windows のレジストリを改ざんして偽のファイルを実行しようと試みます。たとえば、次のいずれかのロケーションに自分自身をコピーする可能性があります。
    • %System%\wbem\grpconv.exe
    • %System%\wbem\proquota.exe


    また、次のいずれかのロケーションに自分自身をコピーする可能性があります。
    • %System%\[脅威のファイル名].dll
    • C:\Documents and Settings\All Users\Start Menu\Programs\Startup\[脅威のファイル名]


    削除されるファイル
    続いて、次のファイルをいくつか削除する可能性があります。
    • %System%\grpconv.exe
    • %System%\dllcache\grpconv.exe
    • %System%\proquota.exe
    • %System%\dllcache\proquota.exe


    改ざんされるファイルまたはフォルダ
    なし


    作成されるレジストリエントリ
    この脅威は次のレジストリエントリを作成して、Windows が起動されるたびに対応する脅威のファイルが実行されるようにします。
    • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"RunGrpConv" = "1"
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"EnableProfileQuota" = "1"


    削除されるレジストリサブキーまたはレジストリエントリ
    なし


    改ざんされるレジストリエントリ (最終値)
    この脅威は次のレジストリエントリを改ざんして、Windows が起動されるたびに対応する脅威のファイルが実行されるようにします。
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\"SecurityProviders" = "[DLL ファイルのオリジナルの値], [脅威のファイル名]"
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\"SecurityProviders" = "[DLL ファイルのオリジナルの値], [脅威のファイル名]"


    プロセス
    この脅威は、次のプロセスに自分自身を挿入しようと試みます。
    • explorer.exe
    • svchost.exe


    3.2 ネットワーク関連操作
    この脅威は、次のネットワーク操作を実行する可能性があります。


    Command and Control (C&C) サーバーとの通信
    この脅威が実行されると、C&C サーバーとの通信を開始します。このトロイの木馬は要求を送信して、侵入先のコンピュータにファイルをダウンロードします。続いて、リモートサーバーに要求を送り返し、各ファイルのダウンロードの成功または失敗について報告します。次のアドレスがこの脅威に関連していることが確認されています。

    • 213.155.4.112
    • 213.155.4.80
    • 213.155.6.32
    • 213.155.6.80
    • 213.155.6.85
    • 58.65.235.41
    • 78.109.29.112
    • 78.109.29.116
    • 91.207.61.12
    • abbcp.cn
    • dollaradmin.ru
    • dollarpoint.ru
    • ghthchinalimited.com.cn
    • mudstrang.ru
    • turokgame.cn
    • verringo.cn


    3.3 その他の機能


    多重パッキング

    Bredolab は、ウイルス対策ソフトウェアによる検出を回避するために頻繁に再パッケージ化を行います。この脅威の拡散に使用される感染手段によって異なる配布およびパッキング方法が使用されます。

    電子メール用のパッキング方法は、通常、Web サイトベースの感染に使用される方法とは異なります。また、両方の感染手段で複数の配布チームが使用されている可能性があります。各チームでは、異なる作業を行って最終版ファイルをさらに難読化させる可能性があります。これにより、ファイルは複数の階層で防御され、パッカーベースの検出回避に役立つようになります。

    Bredolab は、最初に UPX でパッキングされます。次に挿入コンポーネントに組み込まれ、これもまた UPX でパッキングされます。続いて、このあらかじめパッキングされた脅威は配布チームに送信されます。配布方法 (電子メールまたはドライブバイダウンロードなど) によって異なる配布チームが使用されます。

    配布に電子メールが使用される場合、通常、このトロイの木馬はデバッグ対策およびエミュレーション対策コードで防御されたカスタムパッカーを使用してパッキングされます。また、暗号化を使用して自分自身とデータをさらに難読化させます。このトロイの木馬が異なる特性と暗号化で再パッケージ化されると、スパムメールを介して配布されます。

    一方、Web サイトを使用して配布される場合、この脅威はサーバー側ポリモーフィズムと連動します。これは、この脅威がサーバーから要求されるたびに、コードレベルで外観を変化させることを意味します。この技法により、ユーザーがこの脅威をホストするサイトを訪問するたびに、常に異なるバージョンの脅威がリリースされることになります。


    仮想コンピュータの検出
    新しいバージョンの Bredolab は、仮想環境で実行されているかどうかを判断する技法を利用します。これは、次のファイルを検索することにより実行されます。
    • %System%\drivers\hgfs.sys
    • %System%\drivers\vmhgfs.sys
    • %System%\drivers\prleth.sys


    また、次のレジストリサブキーで文字列「VBOX」をチェックします。
    HKEY_LOCAL_MACHINE\HARDWARE\Description\System\SystemBiosVersion

    上記のファイルはいずれも仮想環境の存在を裏付けます。これは、この脅威が仮想環境で実行されていて分析されている可能性があることを意味します。そのような場合、このトロイの木馬はウイルス対策ソフトウェアの技術者によって分析されていて、自身の目的のために操作可能なコンピュータ上で実行されていない可能性があります。そのため、このトロイの木馬が仮想環境で実行されていることを検知できる場合は、システムの重要なプロセスの終了をシミュレートすることによってコンピュータをクラッシュさせ、この脅威の分析を阻止しようと試みます。


    その他の防御手段
    この脅威が検出を回避するために使用するもう 1 つの技法は、ユーザーモードおよびカーネルモードの関数のすべてのフックを解除することです。その後、explorer.exe または svchost.exe プロセスに自分自身を挿入します。これにより、この脅威は正規のプロセスを装って、検出されないまま実行を続けようと試みます。

    また、Bredolab は自身のコード内で意図的に例外を発生させる「強制例外」技法を使用します。これは、デバッグ環境で実行されているかどうかを判断するためにも使用されます。デバッグ環境であれば終了します。それ以外の場合は、実行を継続します。

    同様に、「ダミー」(何もしない) 命令を使用して、シグネチャベースの検出を欺きます。


    Bredolab と Zbot
    Bredolab の新しい亜種が、トロイの木馬の Zbot ファミリーを無効にすることが確認されています。Bredolab のサンプルは Zbot に関連している既知のファイル名を検索し、別のロケーションに移動して無効にします。これは善意によるものではありません。Bredolab は Zbot ファミリーと同じくらい悪質です。実際には、Bredolab が侵入先のコンピュータを完全に制御するのを Zbot が阻止していることがその理由であると考えられます。



    4. 追加情報
    この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

    推奨する感染予防策

    Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

    • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
    • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
    • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
    • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
    • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
    • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
    • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
    • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
    • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
    • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
    • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
    • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
    • For further information on the terms used in this document, please refer to the Security Response glossary.

    記述: Éamonn Young, Mario Ballano, and Takashi Katsuki

    発見日: May 28, 2009
    更新日: July 11, 2013 8:19:12 AM
    別名: Troj/FakeAV-BYW [Sophos]
    種別: Trojan
    感染サイズ: 51,200 バイト
    影響を受けるシステム: Windows
    CVE 識別番号: CVE-1999-1224 | CVE-2007-1775 | CVE-2008-1084 | CVE-2008-2463 | CVE-2006-0003

    お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

    次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



    Norton (個人向け) 製品のお客様
    お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

    駆除ツール


    感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換え が必要な場合があります。


    感染のリスクを軽減する方法
    感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


    ビジネス (企業、法人向け) 製品のお客様
    お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

    疑わしいファイルの特定と提出
    提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


    駆除ツール

    感染した Windows システムファイルがある場合は、「How to use the Symantec Endpoint Recovery Tool to replace an infected file 」(英語) に記載の手順によるファイルの置き換えが必要な場合があります。


    感染のリスクを軽減する方法
    感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
    セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



    手動による駆除
    以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

    1. システムの完全スキャンの実行
    Symantec Full System Scan User Guide (英語)


    2. レジストリの設定の復元
    レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。

    記述: Éamonn Young, Mario Ballano, and Takashi Katsuki