ウイルススキャン

Question

ウイルススキャンでスキャンしたところ、C:\WINDOWS\...\FO35SF3I\connect[2].htmに

Exploit-CodeBase.gen というウイルスがありました。

XMLid.Exploitは少なくとも1つのセキュリティフォーラムで話題に上った攻撃手法です。この攻撃はXMLデータソースオブジェクトをベースにしたインストラクションを使い、ローカルシステム上に保存されているファイルを警告なしに勝手に実行します。　とは？

具体的にわかりやすくご説明ください。

C:\WINDOWS\...\FO35SF3I\connect[2].htmはどのようにして探せばいいですか？

御指導お願いいたします。

Lum999 · Accepted Answer

セキュリティフォーラムでも、話題になった攻撃方法だから、気をつけるように…。で良いのでは。
具体的に書いてしまったら、真似する人もいるんじゃないかな。
どんな方法か知らないけど。

＞ C:\WINDOWS\...\FO35SF3I\connect[2].htmはどのようにして探せばいいですか？

\... この部分は、個人情報ってこと？略？
connect[2].htmがキャッシュぽい…。
「Temporary Internet Files」と書いてありませんか？

Windows98，MEなら、「ファイル名を指定して実行」で、
「 C:\WINDOWS\Temporary Internet Files\Content.IE5 」と入れれば、「FO35SF3I」フォルダがあると思います。

Temporary Internet Files からウイルスが見つかった時は、「コントロールパネル」→「インターネットオプション」を開き、「全般」タブの「ファイルの削除」をクリックし、「オフラインコンテンツも削除する」にチェックをして、［OK］をクリックします。

参考URL：http://www.symantec.com/region/jp/avcenter/venc/data/xmlid.exploit.html

takosan_7 · Answer

感染ファイルをクリックしたのですが～～わかりません。ただExploit-CodeBase.gen（トロイ）は感染活動しない。増殖を目的としない。（亜種があるから　あくまでも基本的は・・・って話）
色々あるみたいなので・・・
見つけたトロイが消えていたとかトロイ扱いするスパイウェアとか。
今後セキュリティーをしっかりすること。としかいえません。

http://www.daioh.net/PC/virus/pc-vir02.htm
http://e-words.jp/
http://www.casupport.jp/virusinfo/2004/win32_glieder_i.htm

takosan_7 · Answer

ウイルススキャンでスキャンしたところ、C:\WINDOWS\...\FO35SF3I\connect[2].htmに＝ウイルススキャンしたソフトは何ですか？
オンラインスキャン？トロイだから　もうリカバリしたほうがいいと思います。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
XMLid.Exploitは少なくとも1つのセキュリティフォーラムで話題に上った攻撃手法です。この攻撃はXMLデータソースオブジェクトをベースにしたインストラクションを使い、ローカルシステム上に保存されているファイルを警告なしに勝手に実行します。

XMLid.Exploitは少なくとも1つの安全会議で話題に上った攻撃手法です。この攻撃はXMLデータソース対象に基づいた指示を使いローカルシステム上に保存されているファイルを警告なしに勝手に実行します。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
XMLid.Exploit＝Win32.Glieder.I(トロイ）
メール　P2Pで感染
タスクマネージャ～プロセスとか
spybot～プロセスリストとかで
calc.exe（実体らしい）%System%\doriot.exe（自身コピー先らしい）あたりがでてくると思う。これとめてプロセス数がどれだけ減る（何が消える）かみてみたりする（実行されてる）

ExplorerでC:\WINDOWS\...\FO35SF3I\connect[2].htmを削除して・・・(\...\)はこうなってるの？省略？
Explorerの設定でツール ～ フォルダオプション  表示 を選択
・その中の全てのフォルダ～にチェックして登録されていす拡張子・・・・のチェックをはずす。
Explorerでconnect[2].htmを削除。・・・・・・・・・・（自信ありません）
・・・・・レジストリが改変されるらしい・・・・・・・・・
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wersds.exe = "%System%\doriot.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wersds.exe = "%System%\doriot.exe"に。
でこれはdoriot.exeがパソコン起動時にそのつど改変するのか1回改変したらずっとそうなのかわからない。
シマンテックにもトレンドにも詳細とかでてない。
spybotでレジストリを改修できる程度かどうかもわからない。
・・・・↑こんなの解る？・・私はわかりません・・・・
リカバリするか詳しいエキスパートの方の回答まつかしかない。

Spybot - Search & Destroy 1.3↓

参考URL：http://www.download.com/Spybot-Search-Destroy/3000-8022_4-10289035.html?tag=pop

yappe · Answer

インターネット一時ファイル　をクリアすればすむことでは？

Internet Explorer
［ツール］－［インターネットオプション］－［全般］
　インターネット一時ファイル
　　ファイルの削除

　ついでに履歴もクリアして・・・・・


他の方も言っておられますが
ウィルス対策ソフトをインストールしていても　100%安心ではありませんが・・・・・
ウィルス対策していないでインターネット（メールを含む）をするなど　自殺行為と認識すべきですね

Lum999 · Answer

OSなどの情報を、何も書いてくれないのですね。

C:\WINDOWS\...\FO35SF3I\connect[2].htm
\...の部分が、 ↑
Temporary Internet Filesになっていて、OSがWindows98，MEなら。と書いたつもりですが、2つとも該当しますか？
「ファイルの削除」を先に実行しませんでしたか？

connect[2].htmをクリックしたら、ウイルス対策ソフトがスキャンするはずです。
Windows Updateを行っていれば、大丈夫のようですが、無闇にクリックしない事です。

感染ファイルを削除し、もう1度ウイルスチェックしてください。
ウイルス対策ソフトをインストールしていないのなら、必ずインストールしてください。ウイルスに感染してからでは大変ですよ。

Exploit-CodeBase
http://www.mcafeesecurity.com/japan/security/virE2002.asp?v=Exploit-CodeBase

参考URL：http://www.mcafeesecurity.com/japan/security/virE2002.asp?v=Exploit-CodeBase

ウイルススキャン

セキュリティフォーラムでも、話題になった攻撃方法だから、気をつけるように…。

この回答への補足

感染ファイルをクリックしたのですが～～わかりません。

ウイルススキャンでスキャンしたところ、C:\WINDOWS\...\FO35SF3I\connect[2].htmに＝ウイルススキャンしたソフトは何ですか？

この回答への補足

インターネット一時ファイル をクリアすればすむことでは？

OSなどの情報を、何も書いてくれないのですね。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

インターネット一時ファイル　をクリアすればすむことでは？