WORM_RODOK.A
別 名:
ロドック, Henpeck
特 徴:
これはワームに分類される「トロイの木馬型」不正プログラムです。MSN Messengerの機能を利用して、不正プログラムを含む特定のサイトへ接続するように促すメッセージを送信し、そのサイトからダウンロードされたファイルが実行されると感染します。
これはトレンドマイクロ製品でBKDR_EVILBOT.Aとして検出される「バックドア型」不正プログラムも作成します。
対応方法:
ワームとして検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除できませんでした。隔離しました。」などと表示されますが正常な表示です。
・侵入方法:
MSN Messengerから送信されたメッセージ中にある特定のURLよりダウンロードされます。
・感染確認方法:
ファイルを実行すると "WinUpdat.exeupdate.ur.address" と "hehe2397824.exe"がWindowsディレクトリに作成されます。これは、トレンドマイクロ製品で「BKDR_EVILBOT.A」として検出されます。
また、レジストリの値が変更されます。
・手動削除手順:
1) まずは不正プログラムのファイル名を確認します。
最新のウイルス対策プログラムを利用してウイルス検索を行い、検出したファイル名を確認してください。(ウイルス発見時の処理は「放置」にすることをお勧めします)
2) メモリ上で実行されているツールを終了します。
下記方法でタスクマネージャーを起動し、手順1)で確認した名称のプロセスを終了します。
Windows 9x/ME:CTRL+ALT+DELETEキーを同時にクリック
Windows NT/2000/XP:CTRL+SHIFT+ESCキーを同時にクリック
3) 変更されたレジストリの値を修正します。
Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。
場所:HKEY_LOCAL_MACHINE>Software>Microsoft >Windows>CurrentVersion>Run
値:WinUpdat = <WINDOWSディレクトリ>\WinUpdat.exeupdate.ur.address"
註:WindowsディレクトリはWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、
*Windows9x/Me/の場合*
Windowsディレクトリ= C:\Windows
*WindowsNT/2000の場合*
Windowsディレクトリ= C:\WinNT
*WindowsXP の場合*
Windowsディレクトリ= C:\Windows
です。
4) マシンを再起動後、最新のウイルス対策プログラムを利用してウイルス検索を行い、「WORM_RODOK.A」又は「BKDR_EVILBOT.A」で検出したファイルをすべて「削除」してください。
|