【次は】ウイルスバスター2005 Part38【いつか?】

このエントリーをはてなブックマークに追加
42名無しさん@お腹いっぱい。
>>38
ネトラン、まだ店頭にあり、回収されていない。さすがソフトバンクだ。

たしかに TROJ_DELF.RM として検出する。
いまトロージャン情報の HTML ファイルを見やすいように編集中。
このあと、ちょうど再セットアップしたばかりの Windows 2000 SP4 が
あるので、実際に感染させてみて、その情報どおりの動作をするか確認
する予定だ。www
4342:2005/07/01(金) 21:39:47
Casper Keylogger Ver. 0.5
Copyright(C) 2005 Hiroshi Horie.
ttp://www.s-center.net/
から作者サイト直接ダウソしても、TROJ_DELF.RM として検出するジャンw
4442:2005/07/01(金) 22:12:46
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DELF.RM&VSect=T
| Windows NT, 2000, XP上で、この不正プログラムが実行されると、システムのプロセスに常駐し、
|"EXPLORER.EXE" という名称の自身のコピーを<Windowsシステムフォルダ>内に作成します。
|また、不正プログラムは、"HTDLL.DLL" という名称のファイルを<Windowsシステムフォルダ>内
|に作成します。
| 不正プログラムは、以下のレジストリ値を改変します。
|場所:
|HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
|値(改変前):load = ""
|値(改変後):load = "<Windowsシステムフォルダ>\explorer.exe"

動作確認結果:
TROJ_DELF.RM として検出する Casper.exe を実行しても、
C:\WINNT\system32 の中に "EXPLORER.EXE" という名称のファイルを作成しない。
C:\WINNT\system32 の中に "HTDLL.DLL" という名称のファイルを作成しない。
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows


load = "<Windowsシステムフォルダ>\explorer.exe" という改変をおこなわない。
結論:
ウイルスバスター パターン2.631.00 以降の誤検出である。【また誤検出】