2003年01月14日 12:00

WORM_LIRVA.C


別 名:
 I-Worm.Avron.b, リルバ, W32.Lirva.C@mm, Win32/Naith.C@mm, W32/Avril-B, リルヴァ

特 徴:
 これはワームに分類されるメモリ常駐型の「トロイの木馬型」不正プログラムです。一般的にワーム活動に利用される電子メールの他、ネットワークドライブやチャットシステムである「IRC」、メッセージングシステムである「ICQ」、P2Pファイル共有ソフトの「KaZaA」を通じて自身のコピーを頒布します。また、パスワードを外部に漏洩させるハッキングツール的活動や、ローカル内のHTML文書ファイルに不正スクリプトをコピーする活動も行います。

 このワームが送信するメールは、InternetExplorerの脆弱性を利用してワームが添付されたメールファイルをオープン、プレビューしただけで添付ファイルが実行されワームが活動を始める「ダイレクトアクション活動」を実現しています。また、ワームのダイレクトアクション活動を防ぐため、OutlookやOutlookExpressではメールの「プレビューウインドウ」の表示を行わない設定にすることをお勧めします。

 現在確認されているワームのサンプルにはUPX自己解凍自動実行形式で圧縮されたバージョンと無圧縮のバージョンが存在します。UPXバージョンはWindows9x/Meでのみ活動が可能です。無圧縮バージョンはWindowsNT/2000/XPでも活動が可能です。

 ワームのウイルスコードはVisual C++で作成されたものと見られます。

 このワームに関しての対策方法がマイクロソフト社でも紹介されています。


対応方法:

 ワームとして検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除できませんでした。隔離できませんでした。」などと表示されますが正常な表示です。

・侵入方法:
 通常、ワームはメールの添付ファイルとしてユーザのコンピュータに侵入します。また、ネットワークドライブへファイルコピーやICQ、IRCのメッセージの添付ファイル、P2Pファイル交換でダウンロードしたファイルにまぎれて侵入する場合もあります。

 このワームが送信するメールは、InternetExplorerのセキュリティホールを利用してワームが添付されたメールファイルをオープン、プレビューしただけで添付ファイルが実行されワームが活動を始める「ダイレクトアクション活動」を実現しています。
 ワームのダイレクトアクション活動を防ぐため、メールの「プレビューウインドウ」の表示を行わない設定にすることをお勧めします。 

・感染していた場合の対処:
 実行してしまい、コンピュータのシステムが改変された場合には以下の方法でシステムの修復を行う必要があります。

・手動削除手順:
 不正プログラムの自動起動設定を削除します。 Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。 。

場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値 :Avril Lavigne ? Muse = <Windowsシステムディレクトリに作成したファイル名>
HKEY_LOCAL_MACHINE\Software\OvG

 マシンを再起動し、最新のバージョン(エンジン、パターン)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。このワームは「WORM_LIRVA.C」として検出します。検出されたファイルはすべて削除してください。

註:WindowsシステムディレクトリはWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、

 Windows9x/Me/の場合、
  Systemディレクトリ= C:\Windows\System
 WindowsNT/2000の場合、
  Systemディレクトリ= C:\WinNT\System32
 WindowsXP の場合、
  Systemディレクトリ= C:\Windows\System32
 です。

 

 
ウィルス名
  • WORM_LIRVA.C

  • 発見日
    2003年01月
分類
  • ワーム
発生場所
  • 世界中
感染対象
  • Windows系全て

参考(情報 / 駆除方法など)