ウイルス情報

デルフ・FZ

( Trojan.Psteal.Delf.fz )

web閲覧で感染する［情報漏洩］トロイの木馬

別名＿：

Trojan.Jasbom、TROJ_DELF.RM、W32/PSW.Delf.FZ

更新日：

2005年5月15日(日)

■感染したらどうなる

• 2005年5月11〜14日の間に、有名サイト「価格.com」を閲覧した場合、自動的に「Trojan.Psteal.Delf.fz」がインストールされてしまった可能性があります。感染すると、キー入力情報が送信される危険性があります。

■感染しないためには

• ウイルス定義ファイルは、絶えず最新にアップデートしてお使いください。
  詳しくは「詳細情報」をご覧ください。

■どうすれば直る

• 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
  ウイルス定義ファイルを最新にアップデート後、ウイルス検査を行なってください。

■詳細情報

• 「Trojan.Psteal.Delf.fz」が実行されると、システムフォルダに以下のファイルを作成します。
  %System%\explorer.exe
  %System%\htdll.dll
  C:\GaMeJTT1.TXT
  
  Winsdows 98/Meでは、以下のファイルを自身のコピーとして置き換え、元のファイルをシステムルートに移動します。
  %System%\INTERNAT.EXE
  %System%\RUNDLL32.EXE
  %WinDir%\RUNDLL32.EXE
  
  ※%System%は、システムディレクトリです。
  ※%WinDir%は、ウィンドウズディレクトリです。
  
• レジストリの値を改変
  システム起動時に実行されるように、レジストリの改変を行ないます。
  HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
  load = ""（改変前）
  load = "%System%\explorer.exe"（改変後）
  
• プロセスの強制終了
  EGHOST.EXE
  KAVPFW.EXE
  MAILMON.EXE
  ZAFrameWnd
  ZoneAlarm
  
• キー入力操作情報収集
  作成されたDLLにより、キー入力操作情報を収集します。収集した情報を「GAMEJTT1.TXT」として保存し、不正リモートユーザに送信します。
  
• ファイルのダウンロード
  特定のURLにアクセスし、ファイルのダウンロードや実行を試みます。