WORM_FREGIT.C
別 名:
フレジット
特 徴:
これはワームに分類される「トロイの木馬型」不正プログラムです。Microsoft Outlookのアドレス帳にある全ての宛先にMAPIを利用して自身のコピーをメールに添付して送信することで増殖活動を行います。以下はワームが送信するメールの詳細です。また、件名はありません。:
件名:
本文:
==================================
"Free Gift" Requested For: <受信者名>
This email was originally requested by this very kind person to send
you a free gift!
Your free gift <添付ファイル名> is an installation package that will download
your free software (along with a setup file) from our home page <URL:ハイパーリンク表示>
If you have any setup difficulties or troubleshooting on how to use the
setup, contact <不定なメールアドレス> and you will be emailed back shortly.
===================================
Send a free gift to everyone you love,
even if it means sending this gift back to the person who sent it to you.
添付ファイル: <ランダムな文字列>.SCR(90,112 バイト)
ワームはさらにJavaScriptのコンポーネントを利用して2回目のメール送信を行います。
対応方法:
ワームとして検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除できませんでした。隔離できませんでした。」と表示されますが正常な表示です。
・侵入方法:
通常、ワームはメールの添付ファイルとしてユーザのコンピュータに侵入します。添付ファイルを実行していなければワームが活動を開始することはありません。
・感染確認方法:
実行してしまった場合には、Windowsディレクトリにワームのコピーが作成され、不正なJavaScriptファイルも作成されます。また、レジストリの値が改変されます。
・感染していた場合の対処:
実行してしまい、コンピュータのシステムが改変された場合には以下の方法でシステムの修復を行う必要があります。
・手動削除手順:
Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。
場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
値:
MSKernel32
MSDisk32
以下のレジストリ値を削除します。:
場所:
HKEY_CLASSES_ROOT\txtfile\shell\open
値:
command
以下のレジストリキーを削除します。:
HKEY_CURRENT_USER\Software\FreeGift
コンピュータを再起動し、最新のパターンファイルを用いてウイルス検索を行います。「WORM_FREGIT.C」、「JS_FREGIT.C」で検出したファイルをすべて「削除」してください。
|