WORM_ORKIZ.A
別 名:
オルキズ, I-worm.orkiz, W32.Trilisa@mm
特 徴:
これは一般的に「ワーム」に分類されるトロイの木馬型不正プログラムです。自身のコピーを電子メールに添付して任意の宛先に送信し、頒布するワーム活動を行います。ワームの送信するメールは以下の内容です:
件名: "Mira esto, jajaja, te vas a reir!!"
本文: "Jajajaja!!! Es la ostia!! Miralo!!"
添付ファイル名: "OperacionTriunfo.scr"
このワームはメール送信のためにVBScriptの別プログラムをシステム内に作成するウイルスドロッパー活動を行います。また、EXEファイルに対してバックアップを作成した上で自身のコードで上書きするコンパニオン型の感染活動も行います。
対応方法:
ワームとして検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。
・侵入方法:
ワームは通常メールの添付ファイルとしてユーザのコンピュータに侵入します。添付ファイルを実行していなければワームが活動を開始することはありません。
・感染確認方法:
ワームを実行してしまった場合には、以下のファイルが作成されます:
・C:ドライブのルートディレクトリ:
OperacionTriunfo.scr
system32 - Veronica la mejor!!.exe
Command.com.vbs
eurovision.vbs
x.vbs
・Windowsディレクトリ:
system32.exe
また、レジストリの値が変更されます。
・感染していた場合の対処:
ワームを実行してしまい、コンピュータのシステムが改変された場合にはワーム駆除のために以下の方法でシステムの修復を行う必要があります。
・手動削除手順:
安全のため、可能であればWindowsをセーフモードで起動して処理を行ってください。
1)Windows上でMS-DOSプロンプトを起動します。
2)DOSプロンプトからDOSコマンドでWindowsのレジストリエディタの拡張子を.comに変更してコピーします。Windowsのレジストリエディタは通常Windowsディレクトリ(Windows9xのデフォルトではc:\Windows、WindowsNT/2000のデフォルトではc:\Winnt)にある"regedit.exe"ですが、Windowsディレクトリ内のEXEファイルはすべてワームにより上書きされてしまっていますのでワームが作成したバックアップである"regedit.ex_"のコピーを作成する必要があります。
コマンド例> copy c:\windows\regedit.ex_ c:\windows\regedit.com
3)「スタートボタン」の「ファイル名を指定して実行」の機能で2)の手順でコピーしたレジストリエディタのファイル名を入力して実行します。
入力例: c:\windows\regedit.com
これでWindowsのレジストリエディタが起動されます。
4)起動したWindowsのレジストリエディタを使用してウイルス情報を参照し、ワームが作成するレジストリの値をすべて削除してください。また、特に以下のレジストリの値は以下のように修正してください:場所:HKEY_CLASSES_ROOT\exefile\shell\open\command
修正前: "c:\system32 - Veronica la mejor!!.exe "%1" %*"
修正後: "%1" %*
5)再起動せず、最新のウイルス対策ソフトを使用してウイルス検索を行い、「WORM_ORKIZ.A」としてウイルス検出したファイルをすべて削除してください。
|