BAT_WCUP.A
別 名:
ダブリューカップ, BAT.Wcup@mm
特 徴:
DOSのバッチファイルで作られたワームです。Outlookをコントロールして自身のコピーを添付したメールを送信するワーム活動を行います。メールの内容は以下の通りです:
件名: WorldCup News!
本文: read me for more world cup news!
添付ファイル名: WorldCup.BAT
※この添付ファイル名は2002年FIFA World Cup の速報を装ってユーザーに添付ファイルをオープンさせることを狙ったものと考えられます。
ワームは自身のワーム活動のために別モジュールを作成して実行します。このような活動をウイルスドロッパー活動と呼びます。ワームが作成する別モジュールには「VBS_BWG.10.GEN」の名称で検出に対応しています。
対応方法:
ワームとして検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。
・侵入方法:
ワームは通常メールの添付ファイルとしてユーザのコンピュータに侵入します。添付ファイルを実行していなければワームが活動を開始することはありません。
・感染していた場合の対処:
ワームを実行してしまい、コンピュータのシステムが改変された場合にはワーム駆除のために以下の方法でシステムの修復を行う必要があります。
このウイルスはコンピュータを起動するたびに自動起動するように Windows レジストリに追加します。
また、Windows 9x/ME では Windows システムで重要な System.ini、Win.ini を改変します。
・手動削除手順:
・レジストリの削除手順
1.[スタート]->[ファイル名を指定して実行] をクリックし「Regedit」と入力し、[OK] をクリックします。
2.左ペインにて以下のレジストリを参照します:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
3.右ペインにて以下の値を削除します:
cqlyg “\%WinDir%\world_cup_.bat”
<Windowsディレクトリ>はWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、
Windows9x/Me/XPの場合、
Windowsディレクトリ= C:\Windows
WindowsNT/2000の場合、
Windowsディレクトリ= C:\WinNT
です。
4.左ペインにて以下のレジストリを参照します:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
5.右ペインにて以下の値を削除します:
eifxi "%WinDir%\china.bat"
Windows 9x/ME の場合 Windows 9x/ME では System.ini、Win.ini にコンピュータの起動時に自動実行される記述が追加されます。
1.[スタート]->[ファイル名を指定して実行] をクリックし、[Msconfig] と入力し、[OK] をクリックします。
2.[System.ini] タブをクリックし、[boot] を開きくと以下の記述があります
shell=explorer.exe C:\%WinDir%\Italy.bat
太字部分を削除します。
3.[Win.ini] をクリックし、[Windows] を開くと以下の記述があります。
load=c:\%WinDir%\%SysDir%\WINI.bat
run=c:\%WinDir%\%SysDir%\WINI.bat
太字部分を削除します。
4.コンピュータを再起動し、最新のパターンファイルを適用し、全ドライブ検索を実行してください。BAT_WCUP.A と VBS_BWG.10.GENで検知されたファイルはすべて削除してください。
|