2002年11月11日 16:00

WORM_FRIENDGRT.B

 

別 名:
フレンドジーアールティー, フレンドグリーティング, Friend Greetings

特 徴:
 これはワームに分類される不正プログラムであり、2002年10月24日前後に登場した「WORM_FRIENDGRT.A」の亜種です。「WORM_FRIENDGRT.A」同様に電子カード送信ソフトを装い、Microsoft Outlookのコンタクトリストにある全ての宛先にワームがダウンロードできるURLを含んだメールを送信します。通常のワームとは異なり、メールには添付ファイルはなく、メール本文中のURLからワームプログラムがインストールされる手法をとっています。ワームが送信するメールの内容は以下の通りです:

件名: <受信者名> you have an E-Card from <送信者名>
本文:
Greetings!

has sent you an E-Card -- a virtual postcard from FriendGreetings.com. You can pickup your E-Card at the FriendGreetings.com by clicking on the link below.

http://www.<安全のため省略>.com/203746/pickup.html?

Message:
------------------------------------------------------------
<受信者名>, I sent you a greeting card. Please pick it up.

<送信者名>
------------------------------------------------------------


対応方法:
 検出したファイルはすべて削除してください。感染活動を行わないのでウイルスバスターなどウイルス対策製品の機能で「駆除」は行えません。「ウイルス発見時の処理」が「ウイルス駆除」になっている場合「駆除失敗 隔離成功」などと表示されますが正常な表示です。

・侵入方法:
 ワームはメール内のURLの形でユーザーの元に届きます。ユーザーが自らURLにアクセスし、インストールしてしまうことでワームはユーザーのコンピュータに入り込みます。ダウンロードに同意しなければワームがインストールされることはありません。

・感染確認方法:
 ワームはアプリケーションとしてアンインストーラーも準備されるため、「アプリケーションの追加と削除」(WindowsXPでは「プログラムの追加と削除」)に「Friend Greetings」という項目が追加されます。

・感染していた場合の対処:
 ワームをインストールしてしまった場合にはワームのアンインストーラーを起動しアンインストールさせます。「コントロールパネル」→「アプリケーションの追加と削除」(WindowsXPでは「プログラムの追加と削除」)から「Friend Greetings」と「WinSrv Reg」を選択してアンインストールを実行してください。ただし、「WinSrv Reg」は他の一般のアプリケーションによって作成されている場合もありますのでご注意ください。

 また、以下の手順で手動削除を行うこともできます。

・手動削除手順:
1)レジストリの削除:
 Windowsのレジストリエディタ(regedit.exe)などを利用して以下のレジストリの場所をすべて削除してください。
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Friend Greetings

場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\WinSrv Reg

場所:HKEY_LOCAL_MACHINE\Software\CLASSES\IEEvtCatcher.IEEvtCatcherObj.1

場所:HKEY_LOCAL_MACHINE\Software\CLASSES\IEEvtCatcher.IEEvtCatcherObj

場所:HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{3972ADCE-8737-45DE-A6E2-A253348E5A1E}

場所:HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{7677C920-9CC3-4621-AF8C-AD45402DC2FD}

場所:HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{7011471D-3F74-498E-88E1-C0491200312D}

場所:HKEY_LOCAL_MACHINE\Software\CLASSES\Interface\{059D8C85-A00F-40AF-8078-7692A0A79F19}

 また、以下のレジストリの値も削除してください。
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:Pmedia = "C:\Program Files\Common Files\Media\winsrvc.exe"

2)ワームコンポーネントの削除:
 エクスプローラなどから Program Files\common\media 内にある以下のファイルをすべて削除してください:
INSTALL.LOG
Uninstal.EXE
OTDOCK.DLL
OTGLOVE.DLL
OTMS.EXE
OTUPDATE.EXE
WINSRVC.EXE
WINSRVC.DAT
 最新のウイルス対策製品で検索を行い、検出したワームはすべて削除してください。

 

 
ウィルス名
  • WORM_FRIENDGRT.B
  • 発見日
    2002年11月
分類
  • ワーム
発生場所
  • 世界中
感染対象
  • Windows系全て

参考(情報 / 駆除方法など)