WORM_OPASERV.A
別 名:
Worm.Win32.Opasoft.b, Backdoor-ALB, OPASOFT, オパソフト, Backdoor.Opasoft,
W32.Opaserv.worm, BKDR_OPASOFT.A
特 徴:
このワームに関しましてパターン355にて「BKDR_OPASOFT.A」の名称で一旦検出に対応いたしましたが、パターン357以降にて「WORM_OPASOFT.A」に改称いたしました。
またパターン369より「WORM_OPASERV.A」に再度改称いたしました。
パターン355使用時とそれ以降とでは検出名が異なりますのでご注意ください。
これはワームに分類される「トロイの木馬型」不正プログラムです。自身のコピーをネットワーク上の共有ドライブにコピーして頒布するワーム活動を行います。また、侵入したネットワーク内のコンピュータ名とドメイン名をハッカーサイトに送信する情報漏洩型ハッキングツール的機能も持っています。
対応方法:
検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。ウイルスバスターなどウイルス対策製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。
注意:
ネットワークを共有している場合、一度ワームを削除しても再度ワームが検出される場合があります。また、共有設定を行っていなくてもデフォルトで共有設定されている場合があります。ネットワーク共有をしないように設定するか、共有フォルダにパスワード設定を行ってください。設定方法に関してはマイクロソフト様へご確認をお願いいたします。
・侵入方法:
C:ドライブが共有されていた場合、ネットワーク越しにファイルコピーが行われ侵入します。メールで自身のコピーを送信するような活動は行いません。また、OSがWindows9x/Meだった場合にはシステム改変が行われ、次回OS起動時にワームが自動起動されてしまう場合があります。
・感染確認方法:
ワームが活動/侵入した場合はワームのコピーである"SCRSVR.EXE"ファイルがWindowsディレクトリに作成されます。またWindowsのレジストリや設定ファイルである"win.ini"が改変されます。
また、ワームはネットワークの検索にSMBプロトコルを使用するため、トレンドマイクロ製パーソナルファイヤーウォールなどのファイヤーウォールソフトによって
NetBIOS Browsing の警告がされる場合があります。
・感染していた場合の対処:
ワームを実行してしまい、コンピュータのシステムが改変された場合には以下の方法でシステムの修復を行う必要があります。
・手動削除手順:
注意:ネットワークに感染を広げるワームですので感染コンピューターはまずネットワークから切断することをお勧めします。
1) メモリ上に常駐している不正プログラムを終了します。
下記方法でタスクマネージャーを起動し、"SCRSVR.EXE"を終了します。
Windows 9x/ME:CTRL+ALT+DELETEキーを同時にクリック
Windows NT/2000/XP:CTRL+SHIFT+ESCキーを同時にクリック
2) 不正プログラムの自動起動設定を削除します。
・Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。
場所:HKEY_LOCAL_MACHINE>Software>Microsoft >Windows>CurrentVersion>Run
値:ScrSvr = <Windowsディレクトリ>\ScrSVr.exe
・Windowsのシステムエディタ(sysedit.exe)などを使用して"Win.ini"内の"RUN="の項目から"<Windowsディレクトリ>\ScrSVr.exe"の値を削除して、感染前の状態に直してください:
例:
修正前:"RUN = <Windowsディレクトリ>\SCRSVR.EXE"
修正後:"RUN ="
3) 最新のウイルス対策プログラムを利用してウイルス検索を行い、「WORM_OPASERV.A」で検出したファイルをすべて「削除」してください。
註:WindowsディレクトリはWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、
*Windows9x/Me/の場合*
Windowsディレクトリ= C:\Windows
*WindowsNT/2000の場合*
Windowsディレクトリ= C:\WinNT
*WindowsXP の場合*
Windowsディレクトリ= C:\Windows
です。
|