TSPY_FLAME.M
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。
スパイウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
スパイウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- TROJ_MDROPPER.CD
インストール
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\NetHood\NetHood.exe
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
スパイウェアは、以下のファイルを作成します。
- %User Startup%\(Empty).lnk
(註: %User Startup%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup"、Windows 2000、XP、Server 2003の場合、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup " です。)
バックドア活動
スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Execute command shell
- Get system information
- Create/terminate process
- Download and execute other malicious files
- Upload files to remote host
スパイウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- http://freetibb.{BLOCKED}p.biz
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- %User Startup%\(Empty).lnk
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_FLAME.M」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_FLAME.M」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください