WORM_OROR.A
別 名:
オロー, W32.HLLW.Oror@mm
特 徴:
これはワームに分類される「トロイの木馬型」不正プログラムです。Microsoft Outlookの機能を利用して自身のコピーをメールに添付し、アドレス帳にある全ての宛先に送信して自己増殖するワーム活動を行います。
また、mIRCの機能を利用してマップされたネットワークドライブにも感染する活動を行います。
対応方法:
ワームとして検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。
・侵入方法:
通常、ワームはメールの添付ファイルとしてユーザのコンピュータに侵入します。添付ファイルを実行していなければワームが活動を開始することはありません。mIRCの機能を利用してネットワーク経由で侵入することもあります。
・感染確認方法:
@ワームのコピーが作成されます。
Aマシンの起動時にワームが実行されるようにレジストリの改変が行われます。
B特定のアンチウイルスプログラムのファイルを削除、またプロセスの停止をします。
・感染していた場合の対処:
ワームを実行してしまい、コンピュータのシステムが改変された場合にはワーム駆除のために以下の方法でシステムの修復を行う必要があります。
・手動削除手順:
1) 作成された不正プログラムの名称を確認します。
最新のウイルス対策プログラムを利用してウイルス検索を行い「WORM_OROR.A」で検出したファイルの名称を確認してください。
2) 不正プログラムの自動起動設定を削除します。
Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。
場所:HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run
値:LoadCurrentProfile=Rundll16.exe
powprof.dll,LoadCurrentUserProfile
3) Windowsのシステムエディタ(sysedit.exe)などを使用してWIN.INIウインドウを開き、以下のように修正します。
[windows]の下
load =
run =
”run = "の行にある手順1)で発見されたファイル名の部分を削除します。
修正後システムエディタは保存して閉じます。
4) コンピュータを再起動し、最新のウイルス対策プログラムを利用してウイルス検索を行い「WORM_OROR.A」で検出したファイルをすべて「削除」してください。
|