現在地 HOME > 掲示板
> IT5 > 159.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT5 > 159.html
★阿修羅♪
|
|
| Tweet |
日本向けアダルトサイト狙うウイルス登場【毎日新聞】
http://www.mainichi.co.jp/digital/network/archive/200403/02/2.html
2004-03-02
日本向けアダルトサイトからユーザーにダウンロードさせる新種ウイルス「WILDJP」(ワイルドジェイピー)の被害が増えていることが2日分かった。
トレンドマイクロによると、同ウイルスは、アダルトサイトからコンテンツをダウンロードする際の認証画面と似た画面を表示し、ユーザーが誤ってウイルスをダウンロードするように仕向ける。感染したパソコンのブラウザの設定を変更し、自身をブラウザーの 「browser helper object」(BHO) として設定する。同社には2月だけで191件の被害報告があった。
英文の不審なメールに添付する形のウイルスだと、日本ではなかなか流行しにくいが、ワイルドジェイピーは日本向けであり、トレンドマイクロでは、メールだけでなくネットサーフィンでもウイルスに対する警戒が必要であるとしている。
[トレンドマイクロ]
http://www.trendmicro.co.jp
(柴沼 均)
TROJ_WILDJP.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_WILDJP.A
概 要
参 照 対応方法
ウイルスタイプ: トロイの木馬型
破壊活動の有無: なし
別 名: ワイルドジェイピー
対応パターンファイル: 766 (1.766.00)
対応検索エンジン: 6.810
危険度: 低
感染報告: 中
ダメージ度: 低
感染力: 低
特 徴:
これはトロイの木馬型不正プログラムです。この不正プログラムは日本向けのアダルトサイトから頒布されインストールされるケースの報告があります。
この不正プログラムは実行されるとブラウザの設定を変更し、自身をブラウザの "browser helper object(BHO)" として設定します。アンインストール機能を備えていますが実際にはダミーであり、いくつかのシステム改変部分が残ります。
この不正プログラムは、Windows 95, 98, ME, NT, 2000, XP上で動作可能です。
対応方法:
※註:以下の情報内の"wild_jp"がすべて"wild4_jp"となる亜種も確認されております。基本的な活動内容は同一ですので"wild_jp"を"wild4_jp"と読み替えてください。
検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除できません。 隔離しました。」などと表示されますが正常な表示です。
・侵入方法:
この不正プログラムは日本向けのアダルトサイトから頒布されインストールされてしまう例が報告されています。一般的にWeb上で配布されるプログラムは「セキュリティ警告」のメッセージの表示なしに自動的にインストールされることはありません。
このプログラム単体ではメール送信やネットワーク越しの感染などはありません。
・感染確認方法:
不正プログラムを実行してしまった場合には、以下の改変が行なわれます。
以下のファイルが作成されます:
Wild_jp-uninstall.exe
wild_jp.exe
以下のショートカットを作成します:
[デスクトップ]\Wild_jp.lnk
[スタートメニュー]\Wild_jp.lnk
レジストリが改変されます。
・感染していた場合の対処:
不正プログラムによりコンピュータのシステムが改変された場合には以下の方法でシステムの修復を行う必要があります。
・手動削除手順:
システムのプロセス上に常駐しているこの不正プログラムを強制終了します。 "wild_jp.exe"、"Wild_jp-uninstall.exe "のプロセスを以下の手順でタスクマネージャを起動し終了します。
・Windows 95/98/ME の場合 CTRL+ALT+DELETEを押します。
・Windows NT/2000/XP の場合 CTRL+SHIFT+ESCを押します。
タスクマネージャを終了します。
Windowsのエクスプローラなどを使用して"C:\Program Files\Comsoft"フォルダを削除してください。
この不正プログラムの改変したレジストリを修正します。
この不正プログラムの自動起動設定を削除します。
Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリ値を削除してください。
場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
Wild_jp = "C:\Program Files\Comsoft\Dialers\Wild_jp\wild_jp.exe /noconnect"
コンピュータを再起動し、最新のバージョン(エンジン、パターンファイル)のウイルス対策プログラムを利用してウイルス検索を行い「TROJ_WILDJP.A」で検出したファイルをすべて「削除」してください。
以上で不正プログラムの活動は停止します。ただし、不正プログラムのシステム改変自体は残った状態になります。残った状態でも特に支障はありませんが、気になる場合には以下の手順でシステム改変を修復してください:
この不正プログラムが追加したレジストリキーを削除します。
Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリキーや値を削除してください:
・レジストリキー:
場所:
HKEY_CURRENT_USER\Software\comsoft
場所:
HKEY_LOCAL_MACHINE\Software\CLASSES\.jpnd
場所:
HKEY_LOCAL_MACHINE\Software\CLASSES\jpnd File
場所:
HKEY_LOCAL_MACHINE\Software\CLASSES\MIME\Database\Content Type\application/x-jpnd
場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\wild_jp
・値:
場所:
HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Viewers
値:
・application/x-jpnd = "c:\program files\comsoft\dialers\wild_jp\wild_jp.exe %1"
・TYPE47 = "application/x-jpnd"
場所:
HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Suffixes
値:
application/x-jpnd = "jpnd"
場所:
HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\User Trusted External Applications
値:
"c:\program files\comsoft\dialers\wild_jp\wild_jp.exe" = "yes"
以上のキーや値はすでに存在しない場合もあります。存在しない場合には特に何もする必要はありません。
以下のショートカットを削除してください:
[デスクトップ]\Wild_jp.lnk
[スタートメニュー]\Wild_jp.lnk
また、汎用駆除ツール「トレンドマイクロ ダメージクリーンナップサービス」にてこのワームのシステム改変の修復に対応いたしました。使用方法は以下をご参照ください。
「トレンドマイクロ ダメージクリーンナップサービス(旧称:トレンドマイクロ システムクリーナー)」の使用方法
お問い合わせ先:質問の送信フォーム
このウイルスに関する詳しい情報はこちらを参照してください。
詳 細
感染報告有無: あり
言 語: 英語
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP
暗号化: なし
ウイルスサイズ: 82,944 Bytes (圧縮);217,088 Bytes (非圧縮)
対応パターンファイル: 766 (1.766.00)
対応検索エンジン: 6.810
発見日: 2004/02/16(米国時間)
対応日: 2004/02/16(米国時間)
詳 細:
この不正プログラムは日本向けのアダルトサイトから頒布されインストールされるケースが報告されています。実行されると自身をブラウザの "browser helper object(BHO)" として設定し、最終的にはユーザのブラウズ内容の監視やWeb広告の表示などを行ないます。
※註:以下の情報内の"wild_jp"がすべて"wild4_jp"となる亜種も確認されております。基本的な活動内容は同一ですので"wild_jp"を"wild4_jp"と読み替えてください。
この不正プログラムは、実行されると以下の場所に自身のコピーを作成します:
<Windowsシステムフォルダ>\Wild_jp-uninstall.exe
[Program Files]フォルダ\comsoft\dialers\Wild_jp.exe
また以下のショートカットを作成します:
[デスクトップ]\Wild_jp.lnk
[スタートメニュー]\Wild_jp.lnk
・レジストリ改変:
この不正プログラムは、Windows起動時に自動起動するように以下のレジストリ値を作成します:
場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
・Wild_jp = "C:\Program Files\Comsoft\Dialers\Wild_jp\wild_jp.exe /noconnect"
また自身の設定の記録のため、以下のレジストリキーを作成します:
場所:
HKEY_CURRENT_USER\Software\comsoft\Dialers
このキーの配下には様々な値が設定されます。
また、ブラウザに対して "browser helper object(BHO)" を追加するため、以下のレジストリキーを作成し、その配下に様々な値を設定します:
・Internet Explorerの場合:
場所:
HKEY_LOCAL_MACHINE\Software\CLASSES\.jpnd
場所:
HKEY_LOCAL_MACHINE\Software\CLASSES\jpnd File
場所:
HKEY_LOCAL_MACHINE\Software\CLASSES\MIME\Database\Content Type\application/x-jpnd
・NetScapeNavigatorの場合:
場所:
HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Viewers
値:
・application/x-jpnd = "c:\program files\comsoft\dialers\wild_jp\wild_jp.exe %1"
・TYPE47 = "application/x-jpnd"
場所:
HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Suffixes
値:
application/x-jpnd = "jpnd"
場所:
HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\User Trusted External Applications
値:
"c:\program files\comsoft\dialers\wild_jp\wild_jp.exe" = "yes"
・その他の情報:
この不正プログラムは、ダミーのアンインストーラを持ちます。ダミーのアンインストーラのために以下のレジストリキーが作成されます:
場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\wild_jp
これによりWindowsの「アプリケーションの追加と削除」(WindowsXPでは「プログラムの追加と削除」)内の表示に「wild_jp」が追加されます。
しかし、このアンインストール機能はダミーであり、アンインストールを行なっても以下のシステム改変は修復されず、不正プログラムは活動を継続します:
不正プログラムのコピー "wild_jp.exe"
自動起動のためのレジストリ値:
Netscape NavigatorにBHOを追加するためのレジストリ値:
註:WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows9x/Meの場合、
システムフォルダ= C:\Windows\System
WindowsNT/2000の場合、
システムフォルダ= C:\WinNT\System32
WindowsXP の場合、
システムフォルダ= C:\Windows\System32
です。
情報公開日: 2004/02/18
情報更新: 2004/02/24
題名には必ず「阿修羅さんへ」と記述してください。