WORM_OPASOFT.A
別 名:
Worm.Win32.Opasoft.b, Backdoor-ALB, OPASOFT, オパソフト, Backdoor.Opasoft,
W32.Opaserv.worm, BKDR_OPASOFT.A
特 徴:
このワームに関しましてパターン355にて「BKDR_OPASOFT.A」の名称で一旦検出に対応いたしましたが、パターン357以降にて「WORM_OPASOFT.A」に改称いたしました。パターン355使用時とそれ以降とでは検出名が異なりますのでご注意ください。
これはワームに分類される「トロイの木馬型」不正プログラムです。自身のコピーをネットワーク上の共有ドライブにコピーして頒布するワーム活動を行います。また、侵入したネットワーク内のコンピュータ名とドメイン名をハッカーサイトに送信する情報漏洩型ハッキングツール的機能も持っています。
対応方法:
検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。ウイルスバスターなどウイルス対策製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。
・侵入方法:
C:ドライブが共有されていた場合、ネットワーク越しにファイルコピーが行われ侵入します。メールで自身のコピーを送信するような活動は行いません。
・感染確認方法:
ワームが実行された場合はワームのコピーである"SCRSVR.EXE"ファイルがWindowsディレクトリに作成されます。
・感染していた場合の対処:
ワームを実行してしまい、コンピュータのシステムが改変された場合には以下の方法でシステムの修復を行う必要があります。
・手動削除手順:
1) メモリ上に常駐している不正プログラムを終了します。
下記方法でタスクマネージャーを起動し、"SCRSVR.EXE"を終了します。
Windows 9x/ME:CTRL+ALT+DELETEキーを同時にクリック
Windows NT/2000/XP:CTRL+SHIFT+ESCキーを同時にクリック
2) 不正プログラムの自動起動設定を削除します。
・Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。
場所:HKEY_LOCAL_MACHINE>Software>Microsoft >Windows>CurrentVersion>Run
値:ScrSvr = <Windowsディレクトリ>\ScrSVr.exe
・Windowsのシステムエディタ(sysedit.exe)などを使用して"Win.ini"内の"RUN="の項目から"<Windowsディレクトリ>\ScrSVr.exe"の値を削除して、感染前の状態に直してください:
例:
修正前:"RUN = <Windowsディレクトリ>\SCRSVR.EXE"
修正後:"RUN ="
3) 最新のウイルス対策プログラムを利用してウイルス検索を行い、「WORM_OPASOFT.A」で検出したファイルをすべて「削除」してください。
註:WindowsディレクトリはWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、
*Windows9x/Me/の場合*
Windowsディレクトリ= C:\Windows
*WindowsNT/2000の場合*
Windowsディレクトリ= C:\WinNT
*WindowsXP の場合*
Windowsディレクトリ= C:\Windows
です。
|