その他種類情報−過去の古いものです。
(特定のものについてだけ掲載・上記に新しく書いていきます)
2015年の年末までの傾向 backgroundcontainer.dll aler0.dll Runner.exe prxtbfre1.dll これらはウイルスにより作成されたファイル。 侵入経路がブラウザーやメールソフトなどの機能に頼る種類で安直なために危険度は低いが、個人情報が流出する原因。 検索して発見した場合はセキュリティソフトで削除。 HOSTやレジストリの修復が必要な場合があります。 セキュリティソフトを使用せず発見したウイルスのファイルを手動で削除する場合はレジストリを修復する方法を確認する必要があります。 |
2010年から2013年の傾向 doubleclick スパイウェア 各種の有名なポータルサイトなどをブラウザーで閲覧するだけで侵入。 主に「ウイルスバスター」製品などで警告表示される種類。 「Cookie」で他の企業にまで広告情報の収集に協力してるかは企業の責任です。 |
Uniblue RegistryBooster 圧縮3.88MB 展開後16.8MB 2010/05/04 バージョン4.6.3.2 Program FilesフォルダーにUniblueフォルダーを作成。 フリーソフトウエアのマルウェア。 レジストリのデフラグ機能がある。 レジストリエラーの多さを強調し不安商法による表示として悪質とされてます。 不安商法→商品広告ウェブサイトと誘導する手口。 詐欺ウェブサイトの広告の手口と同じですから駄目です。 マスコミがこの手法についてメーカーに問い合わせして特集したほうが良いでしょう。 エラーは各社の確認や評価が取れてません。捏造ソフトといえます。 フリーソフトにレジストリ任せるのは危険です。レジストリを改竄される恐れがあります。 レジストリに注目するのは最も古い手口です。 セキュリティソフトのスキャンでは警告されません。 ソフトウェアの削除でフォルダとファイルが無くなったことを確認するようにする。 削除。 |
Complitly 未確認の発行元SimplyGen バージョン1.1.0.0 2011/08/25 サイズ1.20MB Program FilesフォルダーにComplitlyフォルダーを作成。 アドオンの管理では2つ表示。 マルウェア。 セキュリティソフトのスキャンでは警告されません。 ソフトウェアの削除でフォルダとファイルとアドオンが無くなったことを確認するようにする。 削除。 |
2009.9.秋 Delivery systemを使ったNDRスパム 9割が「Suspicious.MH690」IP元も9割が米国。 件名: Thank you for setting the order No.475456 ウイルス名称: Suspicious.MH690 ウイルス名称: Packed.Generic.243 ウイルス名称: Trojan.Fakeavalert zip/exeファイル添付形式。 IPを調べると時期的に扱われた学者の名前、首脳陣や著名人の経歴、ゴシップ、麻薬紛争とテロ関連の報道などに辿り着く場合が多い。 検索すれば著名な物が上位に上がるためとは考えにくい。 女優、歌手、スポーツ選手、カレッジ、軍事兵器の名称、イギリス、フランス、南アメリカ、中東周辺などに辿り着く事も以前から多い。 メーラーのタイプは古いバージョンが変わらずといった特徴がある。 ウイルスセキュリティなどの警告を扱った時期のネットニュースに便乗する傾向も見られる。 テロ関連の報道には高確率で迎合活動している傾向が顕著に見られる。 IP国と配信サーバー国が異なる場合も多い。 他国からフリーメールを扱える会社が利用されているケースが大半を占める。 |
夏から年末かけてに多いのはURLが記載されている販売サイト誘導型。 NDRスパムと呼ばれるものが主流となっている。 件名は「order」「delivery status notification」など。 |
TROJ_GAMETHIEF.M KarnaeghDrv.dll Spybotでは検知されない。 プロパティにはバージョン情報が無い。 10個以上の連番したコピーファイルがある。 基本で活動している一部実行中ファイルはツールで強制削除する必要がある。 フォルダはSystem32 削除後はSystem Volume Information\_restoreも検索して削除する必要がある。 |
2007年度から2008年4月〜。 ロシアやドイツ近辺のIPによる商品系統の詐称アドレスも含む迷惑メールが多発。 類似した物の5通ほど同時が多いので恐らく送信数が尋常ではない。 通常はそれだけで検挙しやすいが当局の動きは依然として見られない。 その他はイタリアなどのIPを介しサイトに誘導して金銭を得ようとするタイプが多い。 大半が英文でありイタリア語によるものは1つも無いのが特徴。 分布はマフィアやテロなど物騒な国柄やネットワーク需要が進んでない国柄が多いのが特徴。 |
Adware_MemWatcher 色々な場所で調べる際にはキーワードをadware memwatcherとしたほうが見つかりやすい。 セキュリティの設定によってはこのアドウェアによるポップアップの広告が出ない場合もあります。 数分間隔でメールボックスをスパムメールで埋め尽くす場合もあります。 5分で1通、1日なら200通前後にもなる場合もあります。 マーケティングという事でブラックリストから除外しているセキュリティーソフトも多い。 メモリを監視するような名前が付いていて安心させている不自然な点があります。 今はどのような亜種が毎年あるか分かりません。 通知も無く許可無く容易にシステムに組み込まれる問題点が悪用されやすい。 セキュリティーのベンダーがこれに対して警戒心の薄さが目立ち違和感を覚えます。 それにこのアドウェアがどの会社の物か不明であり、1つの会社で1種類のものとは限りません。 バックグラウンドで常に機能するため、あらゆるマルウェアへの悪用や偽装も可能だと思います。 過去にこのようなものをセキュリティーソフトで検出した覚えがない、利用してない。 広告メールが増えた。海外の広告メール、または割引セールを装っている。ドラッグ販売のメール。 自分のアドレスを使った詐称メールが届いた。 こういう場合でなくても削除したほうが安全です。 スパムメールが届くようになってからはアドレスを転用されているでしょうからアドウェアを削除しても届きます。 |
ウインドウズのセキュリティではいくつかのスパイウェアをガードできない。 仕組まれたサイト閲覧で未表示でダウンロードされる通常の手口に弱い。 痕跡が残らない。収集したアカウントアドレスを使ってくる。 特定のサイトは古くから存続し相変らず横行に利用されている。 対策には監視するフィルタリングソフトが必要。 迷惑メールはメールサーバーのメールボックスに直接送り込まれる。 メールアドレスはユーザーのアドレスも利用されるため迷惑メールの複数の中に含まれる可能性は高い。 キーボードで入力した事はキーロガーのように読み取られ関連したメールを送りつけてくる場合もある。 その他、 掲示板では悪質なサイトへ誘導するリンクコードやウイルスファイルを貼り付ける傾向もまだある。 個々の管理者や運営者では手動で常に監視して対処しきれない問題がある。 対処法は掲示板そのものを破棄する方法。 予め自動のセキュアがあれば良いが全てがそうもいかず、毎年必ずといってよいほどイタチゴッコが続く。 海外単位でIPを弾くだけでも効果がある。 ただし対処の方法や開発能力があるかどうかは運営者や開発元で様々なので全てがそうもいかない現状がある。 また掲示板運営者の本業が別だったりすると対応は期待できない。 年々増加しているので100通のうち99通が迷惑メールというのも珍しくない日もある。 全てをブロックするだけでも受信作業に若干時間がかかる。 高頻度に活動している迷惑メールは数分単位で送られて来るものもある。 その場合平均で1日に不要なメールは100通ペースに及ぶ。 各国のドメイン、2文字は禁止項目にしておけば迷惑メールは防げる。ドットも含めたほうが良い。 各国のドメインは年々増えるので確認が必要である。 comやccも禁止必須である。 やり取りのある相手のアドレス以外は許可しない事が重要。 この方法でほぼ100%でブロックできる。 不特定多数から常に受け取らねばならないような使用目的によっては無理があるのでセキュリティソフトが必要。 ホスト数が多い国は優先的にブロックすると手間が省ける。 少数ホスト国でも違いはそれほど無いのでブロックしたほうが良いに越したことは無い。 殆どブロックすると内容について把握する事は出来なくなり通報調査も出来ないが専門に任せる。 ドメインは改変してくるので、 送信者名と件名でアルファベットを半角で大文字小文字1文字単位で全て禁止にしてしまうと良い。 ウェブ閲覧によるスパム型はメール設定の識別に引っかからない物がある。 このアルファベットの方法では完全に防御できない。 IP経路は国々を点点としているが特定の国からその周辺国にまたがって多いと判別しやすい。 国によって内容の傾向が違う。 アメリカ、中国、韓国、ロシア周辺、ウクライナ、 オランダ、カナダ、イギリスやアフリカ周辺、ブラジル、アルゼンチンはブロックしたほうが良い。 ウェブやメールも含めてウイルス添付の拡散肥大化が高い。 1つの国にホスト数が増える分だけ拡散も増える。 それぞれの国で取締りが強化されてもドメインは一切解除しないほうが良い。 膨大なアドレスリストの保有率が高い悪質者は隣国にサーバーを移して活動する場合がある。 中国からのサーバ送信を装って実態は日本や、ウクライナのサーバ送信を装って実態はロシア、 ナイジェリアからのサーバ送信を装って実態はアフリカ等、またはその逆という例で特定もしやすい傾向にある。 adminやqmail@等を主にした海外スパムあるいはウイルスが多い。件名がある程度固定されている。 文章は主体性が無く収集かPCから漏れた物だと思われるのも多い。 他国のIPに詐取したメールアドレスを併用して用いる方法も見られる。 情報機関系の内容は数多い。全文は主体性が無く別個の内容の数種類で構成されてある物もある。 ヘッダーやソースは役に立たない場合もある。 本文から誘導目的のフィッシングサイトが分かるなら特定しやすい。 アラートを装う種類が最も動きが悪質。 極論で言えば他国のネットワークは遮断したほうが安全が高まる。 |
年末の傾向 偽装メールのURL誘導式スパムですが、 掲示板などへのDOS攻撃にも同様に使われているものと特徴の類似点が多いです。 またこういう系統には不確定な文字列やハングルも多い。 30分ないし1時間に数通届くレスポンス。48時間に合算すると土日は平日より2倍多くなる場合がある。 他国の系統でも国内でも可能性は考えられる範囲です。 こうしたものが海外だから何年も相手が捕まっていないのでしょうか。 何年も続いている悪質な詐欺グループであるのは間違いないと思います。 多くなった時期も考えて、そういう事を未然に防ぐ手立ては講じるべきです。 プロバイダ各社に対して海外のいくつかのドメインをシャットアウトするよう警告を発してはどうでしょうか。 悪質といわれている特定のホストがすり抜けるようでは各社スパムメールのプロック確率がまだ甘いです。 また、掲示板などでは対応できるものの、 各社のメールソフトはIPホスト名でシャットアウトすることが通常できません。 OS元などメールソフトの開発元にも、てこ入れをするのが一番早いと思います。 偽装改変メールが容易くチェックする機能は無い。 一通一通を改変かどうか認識をさせると膨大な遅れが生じるのでこの手段が取れない。 アドレスは変更しても前のアドレスはスパムとしていつまでも使われ続ける。 本人や知人の起動時間や日数からしてもゾンビPCは滅多に無いものであり、 違うように見えて同一系統の亜種が殆ど。 送信者名や件名はランダム。 更新されたウェブページの関係がある。 検索サイトで日付が新しい表記のページなら特定の内容から抜粋されて使われる傾向が強い。 また例え欧米人の人名と思しきものならカタカナ表記でも英文の名前として使われます。 RSSの機能に類似しています。 あまりに多い諸外国のネットワークは遮断するべきと考えさせられる所まで来ていると思います。 海外のメールは受け取りたくないと思っても完全には無理なので、これさえどうにかできればかなり違います。 規制が厳しくなっても大量の送信が平然としている傾向に対処できる体制が必要になっている。 以下2つのホストによるIPは多用されている傾向。 dynamic.hinet.net(台湾) charter.com(アメリカ合衆国) また.?lを多用した物も多い。 〇〇系と判断がしにくい風俗関係を装ったものは最古であり依然として多い。 国籍の判別はできないが非合法には違いない。 検索サイトの機能を利用した誘導や海外ウェブなど相変らずトロイ系統が多い。 短期間だったりPCに組み込まずその場で作動するものも多数あるため発見しにくい。 省と通信事業者の規制ネットワークのシステム処理は追いつかず見込みが薄い。 偽装メールに関してはプロバイダ側のブロックがまったく効果なく筒抜けに等しい。 ユーザー個人の受信時にブロック可能な範囲をしっかりしても限界がある。 法案の罰則効果が期待できない範囲が中核。国内のみならず公安の潜入捜査が鍵。 |
■2005後期の傾向 スパイウェアが主流−強制ダウンロードでインストールまでするのさえある。 出元は海外アダルトサイトが殆ど。(日本がモザイクなんかやってるからコリないまま) 出元がはっきりしているのに何やってんでしょうね該当国の担当所管は。 破壊や感染活動のものとは別の物が多いですから不振な事も無いと見逃しがちです。 しばらくチェックしてなかったという人はお調べになってください。 ウイルス対策のソフトウェアセキュリティに関らないので横行した傾向です。 ブラウザのセキュリティ署名ある無しの無効やダイアログを出す設定でも、 ダイアログも出ずに強制的に数秒で組み込まれる物もあります。 UnSpyPC SearchToolbar Smitfraud-C Pipas.A CoolWWWSearch.IE-Extension TROJ_DELF.UY TROJ_DELF.ABO 等。 レジストリでキーを削除しても修復し削除できないファイルも含まれます。 これはこちらで確認した物のみです。これ以外もあるでしょう。 動作については危険度が低いのでへたに触らず無視してほっといても良い場合もあります。 気持ちが悪いのは当たり前ですからコツを心得ている場合は面倒臭がらず徹底して掃除する。 適切な情報元から該当する類似か確認し「対処」内容を調べ把握する。(対処詳細はコピペ) システム情報からは削除は出来ません。(不正な物が動作していたという発見はしやすい) またブラウザのアドオン管理から確認しやすい種類もあります。 アドオンで拡張された物は無効にする事はできますが、 削除にはウイルスのコードネームで対処方法として公開されている適切な方法を用います。 ■削除ツール spybotsd(検知・削除・免疫) cwshredder(CoolWebSearch系専用) BeginnerTool(ファイル削除) kyosaku(ファイル強制削除) 等。種類によっては各ツールでの対処不可能。 ■当たり前の対処は情報から正しく作業する ブラウザの「Cookie」.「一時ファイル」.「履歴削除」は使用後に毎回削除。 普通はよく削除してても時遅しですが念を入れてとりあえずの定番です。 色々拡張やインストールしたらたまにはWINDOWSの「TMP」フォルダの中を空にする。 (この中はバックアップも入ってたりして特定のファイルは削除できないので削除できる物だけ) 何かある場合は怪しげなファイルやゴミが最初に格納される場所ですから。 セーフモード「F8」起動。 ファイル名を指定して実行からregeditを入力しエディタを起動。 レジストリキーを削除する。(勘違いやミスらないように一番の注意です) 使用中となって削除できないファイルは「強削」等を使用し削除。 OSのシステム復元機能は綺麗になってから復元ポイントを作る。 (復元機能無効は物の種類によって必要があればでよいので適切に対応) |
2005年の最近の傾向はスパムメールです プログラムツール等でメールアドレスを検索して送りつけてきます。 検索したアドレスは送信者として偽装で使われる場合がありますが、 ヘッダーを見ればReceived: fromの列で本当の送信者のIPが分かります。 ヤフー等でアドレスを入れて検索すれば スパム業者の一覧を公開しているページにヒットしますので 確認すれば該当するものがあると思います。 数日放置すると膨大な数になりメールボックスの容量を圧迫するので ブロックを使いつつ削除するしかありません。 また報告機能の付いた対策ツールがヤフーから出てますが効果のほどはあるだけマシというもの。 収集されたアドレスを偽装に使ったりしている以上は刑事罰に該当する法に触れてます。 一部プロバイダも規制に動いてますが今の所の効果は完全ではありません。 marunouchi.tokyo.ocn.ne. ↑に関しては他人のアドレスで偽装して送りつけてきたのを確認してます。2005.8.2 付 maru.tokyo.ocn.ne. .o-tokyo.nttpc.ne. fukuokachu.fukuoka.ocn.ne. osakakita.osaka.ocn.ne. .ap.net-access. .ap.yournet.ne. (jp) 当方のアドレスも搾取されて使われた可能性も当然あります。 ウェブトラッカーで世界各国隅々サイトを閲覧されているのが原因。 アドレスそのものはアテにしないのも手です。 またフッシング詐欺に繋がっている会社も複数あるので そういうのは送信者名などに明記があります これについては専門のニュースを掲載している所に記事がある。 媒体になっている会社は数千に及ぶので 普通のユーザーは調べても大して役にも立たない。 送信国IPを調べるのは今は専門サイトがあるので簡単です。 疑惑や疑問の払拭にしかなりませんが。 警視庁に対して弁護士や行政書士など法務関係に精通している方の強い注文が必要。 また各プロバイダはサーバでブロックしないとリモート攻撃がずっと続く事になります 援助交際と称し売春メールの傾向になってますが 無作為なので未青年に届く事も当然ありますので 各プロバイダが放置していると何れにしても幇助という認識になります 負担損害からいってもスパムを放置する事自体は常識的にも考えられない行為です アメリカではプロバイダがスパム大量送信者に訴訟したりしています どちらにせよウイルス攻撃や詐欺や個人情報取得のために送られてくる。 広告業者を装ってたりしているから政府は業者と真に受けているかもしれないが 1業者が複数の業者をしていたり昔から捕まってないため拡大するのは当たり前。 ネット詐欺などの容疑で警視庁が逮捕する能力がある以上は 法的拘束力の元で警視庁がスパム撲滅するのが一番早い。 総務省や或いは通産省、警視庁がスパムがなんなのか把握している必要もあるが 若い人が詳しくても上司はパソコン使えないときているから対応が鈍いはず。 各プロバイダが集まってセキュリティ関係の対策会議をする定例会議が無いので 政府に何度も苦情で意見するしかない。 政府から働きかけなければ警視庁はまず腰が重すぎて動かないしプロバイダも動かない。 政府側で対策対応が進んでいるかが重要。アメリカに遅れすぎた化石では済まされない。 政府や議員がネットをしているにも関わらず有識者が少ないのは情け無い。 ウイルス、ポートDOS攻撃、等が色々含まれる場合もありえますので受信トレイに残さない事。 邪魔なものはメッセージルールで件名を指定複数追加して処理を指定すると楽ですが。 禁止語句は使われているものの一部だけでも受信フォルダに適用すると効果があります。 サーバからダウンロードしないにするとサーバのメールボックスに新着のままゴミが溜まりますので サーバから削除するを選択して適用すると良いです。 禁止にすべき語句は少なくとも20でカナや英字の場合は大文字・小文字を含めた語句を禁止に。 ちなみに筆者は40項目以上禁止語句をしてあります。 禁止語句を設定してもそれを避けた件名の文章で送ってきたので こういうページはウェブトラッキングによって目を通されていると思います。 |
2005-2006年傾向の1つ Spybotで次のエントリが出る場合。 Windows Security Center.AntiVirusDisableNotify: Settings (Registry change, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0 Windows Security Center.UpdateDisableNotify: Settings (Registry change, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0 Trend Microのウイルスバスターオンラインスキャンでさらに次の結果が出る場合。 TROJ_FAVADD.AG C:WINDOWS\system32\favset.exe 削除すると System Volume Information\_restore{C69433DF-59C7-43EC-8545-E9EC66B49938}\RP62\A0005600.exe TROJ_TINY.AF C:WINDOWS\system32\howiper.exe 削除すると System Volume Information\_restore{C69433DF-59C7-43EC-8545-E9EC66B49938}\RP62\A0005601.exe 感染ファイルです。Spybotのみでは消せません。 該当ファイルを消さないと何度もチエック結果に出てきます。 削除してもウイルスチェック検索結果に出る場合は下記水色内の方法で一旦表示するかして、 RP62フォルダの中にある実行ファイルを削除します。このフォルダの番号は各々違います。 復元機能をオフにしたままだと何かあった時に始末に終えないよりは安心な方法です。 restoreフォルダは超過断片を含みやすくなるとデフラグ処理できない項目になる。 その場合復元ポイントを作り直す事も必要。
海外の無料サンプル等のページをサムネイルしているアダルトサイト。 1位から30位までカウントが7000-1000までの有名所?を潜っていけばジャンプ先のどこかで貰ってしまうでしょう。 画像一覧表示の一部をクリックして意図しないページに飛ばされたり、 ジャンプ先へのリンクコードが暗号のように長かったり、htmやhtmlが無くはっきりしないもの画像そのものにも用心。 今だに配布元として何れかに存在しているようですので注意。 サムネイル表示のサイトやサンプルページのサイトは、 画像のTGPやムービーのMGP等、アニメ、アジアン、ティーンあたりはどこも兼ねている。 ほとんど無断リンクなのでリンク先まで責任を持って掲載している所は無い。 素人にはまったく気づかないので、よほどの専門家が巡回しないと発見そのものは難しい。 自国さえ気にしていればいいという体質柄、各国の公安の連携が取れてないのも事実。 取り締まらずに見逃しているのも大有りでしょうから目を覚まさないとキリが無いです。 スパイウェア対策ソフトとウイルス対策ソフト。 初期に比べてリストチェックは正確。 スパイウェア対策ソフトで削除できないものはウイルス対策ソフト。 スパイウェア対策ソフトで発見されるものは殆どレジストリ面が多い。 基本的に起動ファイルはウイルス対策ソフトか手動でしか消せない物が多い。 勘違いしている人も多い事は、 昔と違いファイルチェックして疑わしいかはっきりしない結果は無いと思ってよい。 スパイウェア対策ソフトでは不明瞭とする結果は滅多に無い。 ウイルス対策ソフトも同じく誤認されてしまうのも滅多に無い。 |
「JS/Offensive」 フォルダオプションの「ドライブ」のアクションになっていたhow to fuck japanというアホなメニューをレジストリから消した。 web見ただけで被害を受ける「FUCK japanese」 「Java アプレットの悪意を持った実行によって PC が被害を受ける」 DOSプロンプトまたはコマンドプロンプトで jview コマンドを実行し、 Java VM のビルド番号をチェックし、3802 以上であれば修正の必要なし。 「VM のファイルの読み取り」 の脆弱性に対する対策 (MS00-081)マイクロソフト 登録日 : 2000/10/30 更新日 : 2002/08/21 日本ネットワークアソシエイツ 「JS/Offensive」詳細情報(修復ツール有だが下記修正が必要) 不具合:一部IEのタイトルが消えてしまう 対処法:「HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Window Title」と 「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title」を削除する 不具合:ドライブを右クリック時に「how to fuck japan」が残ってしまう 対処法:「HKEY_CLASSES_ROOT\Drive\shell\how to fuck japan」をキーごと削除 不具合:IEのウインドウで左クリック時、「how to fuck japanese」が出る 対処法:「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\how to fuck japanese」をキーごと削除 不具合:IEのツールメニューに「FUCK japanese」が出る 対処法:「HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{C18CB140-0BBB-11D4-8FE8-0088CC102438}」をキーごと削除 |
◆ウイルス 「WORM_MYDOOM.A」 「WORM_MIMAIL.R」 (※別名:W32.Novarg.A@mm、W32/Mydoom@MM) これらのものは本文を残してウイルスコードのみ削除されるということは殆ど無いです。 送られてきた感染したものを発見すれば完全削除してしまうのが安心です。 予防方法 メールが来着した場合、不用意に添付ファイルを実行しないよう、ご留意下さい。 プレビュー設定していなくても過信は禁物です。 怪しげなメールに触れた場合に限らずメールが届いたら即、適切な対処をしましょう。 かなり流行しており知人のアドレスで届く確率も高くなります。 感染したPCでネットサーフィンしている場合、収集されたアドレスを利用されて飛散するものもあります。 また、 ウインドウズ・システムフォルダ内にウイルス実行によるファイルがないか確認を。 自身を消したり改変したコピーを作成したりメモリに常駐するタイプはザラです。 適切な対処方法を調べ、セキュリティソフトで必ず対応してください。 |
海外ドメインからの詐欺メールにご注意 自身の状況を説明した”投資話”を装い コンタクトのために住所のみか電話のみメールアドレスのみを明記あり。 ウイルス貼付はない。 ナイジェリア、フランスなど 英文である。 |
別 名: W32/Sobig@MM, ソービッグ, SOBIG, W32/Sobig.A@mm 差出人:big(@)boss.com 件名:以下の候補 Re: Movies Re: Sample Re: Document Re: Here is that sample 添付ファイル名:以下の候補 Movie_0074.mpeg.pif Document003.pif Untitled1.pif Sample.pif 以下のファイルからメールアドレスを取得 WAB DBX HTM HTML EML TXT 貼付ファイルの実行をしなければ危険はありません。 主にWEBページからアドレスを取得されるので注意 レンタル掲示板・チャット等の管理者メールアドレスを記載しなければならないサイトも 何らかの対策をしないと管理者のアドレスが氾濫する一方になります。 映画・サンプルファイル・石原裕次郎サイトにとっても 勘違いしそうなので念の為記載しました。送りつけて来るサイトがあるので特定しやすい。 |
WORM_BUGBEAR.A(バグベアー) 今までのワーム型対策設定で対応できます。 但し、設定を外した状態で貼付実行やプレビューはしないこと。 |
Trend Micro 2002年4月23日公開 パターンファイル269にて誤警告してしまう 検出されるウイルスはTROJ_KILLCMOS.M 発生対象のファイルはOS内に含まれるrestart.dll 次回のオフィシャルパターン271で対応予定とのこと |
Klez 改変されて横行しだしたウイルスです。 一度行動しだすとウイルススキャンも正常に作動しません。 また添付ファイルが見えないように偽装されている場合もあります。 いくつかの種類のファイルの拡張子に適合するものは ゴミファイルとして上書されます。 またホームページサイトの情報取得。 メールソフトのアドレス帳やフォルダ内に格納されてるメールから情報取得。 txt((拡張子)テキストファイルやワードパッドの文章からも情報取得するかも。 一定時期の経過である日付になるとパソコン起動時に活動する。 Outlook Express対策 スタート−設定−フォルダオプションで 全般タブ内は「従来のWindowsスタイル」を設定。 いわゆるWEBスタイル(アイコンが大きく表示)にはしないこと。 また「ファイルの種類」でアプリケーションと拡張子の関連付けがあります。 IEの5.や5.5などのセキュリティでは、 各アプリケーションの関連付けの「編集」かダブルクリックで 「ダウンロードする時に開く確認する」をチェックします。 これでウイルスによるアプリケーションからのアクションを防ぎます。 IE6の場合は該当する拡張子にチエックがあると思いますが 確認したほうがよいでしょう。 また定期的にホームページを閲覧した一時ファイルのキャッシュはクリアする。 パソコン起動時にはインターネット接続のためのケーブルを外す。 などで被害拡大を防ぎましょう。 |
TechNet Home > セキュリティ > MS02-015 に関する情報 TechNet Online に行き セキュリティ情報:概要 2002年 MS02-015概要 の順番で使っているIEへの対策バッチを当てられます。 |
別 名: FIDAO.A, FIDAO, W32/Fbound.b@MM, Win32/Japanize.Worm, Worm.Zircon.B, JAPANIZE.A, エフバウンド 言 語: 英語 ウイルス種類: ワーム型 プラットフォーム: Windows 暗号化: No ウイルスサイズ: 12288 Bytes 発見日: 2002年03月03日 発病条件 1: ファイル実行時 活動 1: メールを自動送信する patch.exeという添付ファイル 送信元がjpドメインの場合,Subject(件名)が 「重要」「例の件」「極秘」「うんこ」となっている。 SMTP サーバの情報・送信メールの「差出人」情報を 取得して送信する活動をする。 受取ってしまった場合の対処法は削除すること。 *追加 件名は改変される場合がある。 |
別 名: W32/BADTRANS-B, BADTRANS.B 言 語: 英語 ウイルス種類: トロイの木馬型(ワーム型) プラットフォーム: Windows 暗号化: No ウイルスサイズ: 29020 Bytes 発見日: 2001年11月24日 遭遇の可能性: Yes 発病条件 1: ファイル実行時 破壊活動 1: メールを自動送信する 発病条件 2: メールをプレビュー ファイル名称はランダム レジストリを変更しIE の各種設定を変更する IE のスタートページをアダルトサイトなどへの変更 「お気に入り」にアダルトサイトなどへのショートカット作成。 ハッキングツールによる、情報取得。 抜取られた情報は外部に送信される可能性。 詳細はこちらへ−(その他ウイルス情報) |
発見日: 2002年01月27日 WORM_MYPARTY.A (マイパーティ) 件名:"new photos from my party!" 本文:"Hello!"で始まる英文(固定) 添付ファイル:www.myparty.yahoo.com 2002年1月25日から29日に発病し上記メールを送信します。 |
2001.12.05 OutlookのメールとICQのメッセージを利用し自身のコピーを頒布。 ワーム型不正プログラム「WORM_GONE.A」が発見。 海外で感染報告が相次いでいます。 以下のメールを受け取った場合はメールを添付ファイルごと削除しよう。 件名:"Hi" 本文: "How are you ? When I saw this screensaver, I immediately thought about you I am in a harry, I promise you will love it!" 添付ファイル名:"GONE.SCR" |
別 名: W32/BADTRANS-B, BADTRANS.B 言 語: 英語 ウイルス種類: トロイの木馬型(ワーム型) プラットフォーム: Windows 暗号化: No ウイルスサイズ: 29020 Bytes 発見日: 2001年11月24日 遭遇の可能性: Yes 発病条件 1: ファイル実行時 破壊活動 1: メールを自動送信する 発病条件 2: メールをプレビュー ファイル名称はランダム レジストリを変更しIE の各種設定を変更する IE のスタートページをアダルトサイトなどへの変更 「お気に入り」にアダルトサイトなどへのショートカット作成。 ハッキングツールによる、情報取得。 抜取られた情報は外部に送信される可能性。 |
<活動> メモリに常駐 以下のファイルをWindowsのシステムディレクトリに作成 Kernel32.exe cp_25389.nls kdll.dll ●上記ファイルのうち"Kernel32.exe"はワームのコピー。 すでにこのファイルが存在しシステムから使用中でも プロセスを中止させ元のファイルを削除し、新しく自身のコピーを作成する。 ●"kdll.dll"は侵入したシステム上での キー入力を記録するためのハッキングツールプログラム。 "kdll.dll"も実行されるとメモリに常駐。 ●"cp_25389.nls"は"kdll.dll"が記録したキー入力の内容を 暗号化して保存するためのログファイル <ワーム活動> メーラーの設定を調べ、自身のコピーを添付したメールを 自力で送信します。ワームが自身でメールを送信するため、 ワームのメールはメーラーの送信履歴には残りません。 ワームは以下から取得したアドレスにメールを送信する: 1.受信トレイにある未読メールの送信者のアドレス 2.「マイドキュメント」フォルダ及び「temporary Internet files」フォルダ内にある ファイル内から取得できたメールアドレス 件名:以下の候補から無作為に選択したものが使用されます: "info" "docs" "Humor" "fun" 上述 a.の未読メールの送信者のアドレスに対して送信する場合は 元メールの件名の先頭に"Re:"をつける。 ●ウイルスコードのバグのためか添付ファイルの エンコード情報が正常に記述されない状態で メール送信を行う場合があることが確認されています。 この場合、添付ファイルは正常にデコードできず言わば 壊れて実行不可能な状態になりますので、ウイルス活動の危険もない。 <ハッキング活動> アカウントやコンピューター名を取得する活動を行う。 "kdll.dll"はメモリに常駐し、キー入力を記録する活動を行う。 "kdll.dll"は"GetData"、"KeyLogOn"、"KeyLogOff"、"KeyLogOpt"の 4つのファンクションを監視するとともに、すべてのキー入力を入力した ユーザー名や入力された時間などの情報とともに記録。 記録した情報は、外部に送信される可能性があり。 |
単体で動作する一個のプログラム。他のファイルへの感染活動はない。 ワームが実行されたことによりシステムが改変された場合は、 可能であればWindowsをセーフモードで起動し 1)不正プログラムの自動起動設定を削除します。 Windows のレジストリエディタ(regedit.exe)などを使用し、 レジストリの以下の値を削除。 場所:\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunOnce 値:kernel32 2)再起動後、ウイルス検索を行って検知したファイルを全て「削除」する。 ワームのメールと思しき不審なメールはメールボックスから手動で削除する。 削除の際にはメールでのダイレクトアクション活動を防ぐため、 前もってセキュリティホールへの対応を行ってください。 同時に「OutlookExpress」の「プレビューウインドウ」表示を行わない設定にする。 「OutlookExpress」メニューバーの「表示」→「レイアウト」タブ画面から 「プレビューウインドウを表示する」のチェックを外す。 |