トレンドマイクロのウィルスバスター２００１

トレンドマイクロのウィルスバスター２００１ at BSOFT

51:Name_not_found
01/01/08 13:40
以下のウィルスに感染してました。
ウイルス名： JS_SEEKER.A
別　　名： SEEKER, SURESEEKER
ウイルス種類： Javaスクリプト
プラットフォーム： InternetExplorer上
暗号化：> 有り
ウイルスサイズ： 3155bytes
発見日： 2000年10月
対応パターン#： 792
発病条件 1: ファイル実行時
破壊活動 1: ファイルを作成する
破壊活動 2: ブラウザのホームページ変更

--------------------------------------------------------------------------------

詳　細： -
　これはJavaScriptで記述された不正プログラムです。通常はホームページなどHTML文書の中に記述されJavaScriptを理解できるブラウザ上で動作します。このようなインターネット配信できるプログラミング言語を使用した不正プログラムを一般に「インターネットウイルス」と呼ぶ場合があります。

活動：
　このプログラムのソースコードはマイクロソフト製「Windows Script Encoder」エンコードされており、InternetExplorer上でのみ動作します。

　「JS_SEEKER.A」が実行されるとまず自分を実行しているIEのウインドウをデスクトップの最背部に持っていきます。開いているウインドウが1枚だけの場合はインアクティブになります。そして"RUNME.HTA"ファイルをWindowsのスタートアップフォルダに、"REMOVEIT.HTA"をC:ドライブのルートディレクトリに作成します。スタートアップフォルダに作成された"RUNME.HTA"は次回Windows起動時に自動実行されます。ただし、日本語環境ではスタートアップフォルダのパスが異なるため、"RUNME.HTA"は作成されず、自動実行もされません。

　"RUNME.HTA"は実行されると"BACKUP1.REG"、"BACKUP2.REG"、"HOMEREG111.REG"の３つのファイルを作成します。これらはWindowsのレジストリを改変するためのファイルです。レジストリが改変されるとInternetExplorerとNetscapeNavigatorのホームページが米国のポータルサイト＜URLﾘﾝｸ(www.sureseeker.com)＞に設定されてしまいます。"RUNME.HTA"は最後に"REMOVEIT.HTA"を起動して終了します。"REMOVEIT.HTA"は自分自身を含む「JS_SEEKER.A」が作成するすべてのファイルを削除して終了します。--------------------------------------------------------------------------------

備　考：

　１個の独立したプログラムであり、「駆除」することはできません。検出した場合は単純にファイル削除してください。ブラウザのホームページが変更されてしまった場合には手動で再設定することが必要です。

次ページ

続きを表示

1を表示