BAT_NOWE.A
別 名:
England Worm, England Win WorldCup with Beckha, ノウェ
特 徴:
これは不正なDOSのバッチプログラムであり、「ワーム」に分類される活動を行うトロイの木馬型不正プログラムです。いくつかのモジュールが連携して電子メールもしくはIRCを利用したワーム活動を行います。「BAT_NOWE.A」以外のワームのモジュールは「VBS_NOWE.A」、「IRC_NOWE.A」、「REG_NOWE.A」との検出名で検出に対応しています。
ワームの送信するメールは以下の内容です:
件名: "England Win WorldCup with Beckham"
本文:
添付ファイル: README.BAT
このメールの内容は2002年サッカーワールドカップに関するメールと思わせて添付ファイルを実行させようという狙いがあるものと思われます。
対応方法:
検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。
・侵入方法:
ワームは通常メールもしくはIRCメッセージの添付ファイルとしてユーザのコンピュータに侵入します。添付ファイルを実行していなければワームが活動を開始することはありません。
・感染確認方法:
ワームを実行してしまった場合には多くのファイルが作成されます。作成されるファイルは詳細情報をごらんください。また、レジストリの値が変更されます。
・感染していた場合の対処:
ワームを実行してしまい、コンピュータのシステムが改変された場合にはワーム駆除のために以下の方法でシステムの修復を行う必要があります。
・手動削除手順:
1)最新のウイルス対策プログラムを利用してウイルス検索を行い、検出したファイルをすべて「削除」してください。
2)Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。値はない場合もありえます:
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :ksflt = "<Windowsディレクトリ>\IAmJustAWormWhoLovesRio.VBS"
値 :ALERT = "%WinDir%\IAmOnlyJustAWormByBeckham.bat"
註:<Windowsディレクトリ>、<Windowsのシステムディレクトリ>はWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、
Windows9x/Me/XPの場合、
Windowsディレクトリ= C:\Windows
システムディレクトリ= C:\Windows\System
WindowsNT/2000の場合、
Windowsディレクトリ= C:\WinNT
システムディレクトリ= C:\WinNT\System32
です。
3)Windows9x/Meの場合には"WIN.INI"、"SYSTEM.INI"が改変されている可能性があります。WIN.INI、SYSTEM.INI
は Windows の起動に重要なファイルです。このファイルを修正するためには以下の手順を行ってください:
コンピュータを再起動します。
DOS プロンプトの画面で F8 キーを押すと、「Starting Windows 9x」の画面が表示されます。
Safe Mode を選択し、Enter キーを押します。
[スタート] をクリックし、[ファイル名を指定して実行] をクリックします。名前ボックスに「Msconfig」と入力します。
[WIN.INI] タブをクリックし、[Windows] 項目を確認します。
[windows]
load=C:\WINDOWS\system\WINI.bat
run=C:\WINDOWS\system\WINI.bat
以下の記述に変更します。
[windows]
load=
run=
[SYSTEM.INI] タブをクリックし、[boot] 項目を確認します。
[boot]
shell=explorer.exe C:\Windows\VUDSP.BAT
以下の記述に変更します。
[boot]
shell=explorer.exe
システム設定ユーティリティを閉じます。
|