WORM_WINEVAR.A
別 名:
I-Worm.Winevar, ウィンエバー, Win32/Winevar.A
特 徴:
これは一般的に「ワーム」に分類されるトロイの木馬型不正プログラムです。自身のコピーを電子メールに添付し任意の宛先に送信して頒布するワーム活動を行います。ワームの送信するメールの件名や本文はランダムに決定されるため不定です。ワームはメールに以下の3種のファイルを添付します:
"WIN"+<不定な数字列>+".pif"
"WIN"+<不定な数字列>+".GIF (120 bytes) MUSIC_2.CEO"
"WIN"+<不定な数字列>+".TXT (12.6 KB) MUSIC_1.HTM"
<不定な数字列>は基本的には4〜5文字でうち1文字がアルファベットの場合もあります。
また、メールの送信者と受信者に同一のメールアドレスがセットされます。
ワームのメールには一般に「IFRAME」と呼ばれるインターネットエクスプローラのセキュリティホール(MS01-020)を利用し、ダイレクトアクション活動を行うためのコードが含まれています。ワームのダイレクトアクションを防ぐためにもWindowsのアップデートを行ってください。
ワームは実行後にウイルス対策ソフトなどのプロセスを強制終了させる活動も行います。
対応方法:
検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗 隔離成功」などと表示されますが正常な表示です。
ワームはインターネットエクスプローラーのセキュリティホール(MS01-020)を狙ったダイレクトアクション活動を行います。これを防ぐためにもWindowsのアップデートを行ってください。このセキュリティホールの詳細に関しましてはマイクロソフト社の説明をご参照ください
・侵入方法:
通常、ワームはメールの添付ファイルとしてユーザのコンピュータに侵入します。セキュリティホールを利用したダイレクトアクション活動を行うため、メールをオープン/プレビューしただけでワームが活動を開始することがあります。
・感染確認方法:
ワームを実行してしまった場合には、以下のファイルが作成されます:
<Windowsのシステムディレクトリ>\"WIN"+<ランダムな文字列>+".pif"
また、レジストリの値が変更されます。
・感染していた場合の対処:
ワームを実行してしまい、コンピュータのシステムが改変された場合にはワーム駆除のために以下の方法でシステムの修復を行う必要があります。
・手動削除手順:
1)不正プログラムの自動起動設定を削除します。
Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。
場所: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
値 : <ファイル名>=<システムディレクトリ>\<ファイル名>
場所: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 : <ファイル名>=<システムディレクトリ>\<ファイル名>
場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 : <ファイル名>=<システムディレクトリ>\<ファイル名>
値例: "WINA123" = "c:\Windows\system\WINA123.pif"
2)最新のウイルス対策プログラムを利用してウイルス検索を行い「WORM_WINEVAR.A」で検出したファイルをすべて「削除」してください。
註:<Windowsディレクトリ>、<Windowsのシステムディレクトリ>はWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、
Windows9x/Me/XPの場合、
Windowsディレクトリ= C:\Windows
システムディレクトリ= C:\Windows\System
WindowsNT/2000の場合、
Windowsディレクトリ= C:\WinNT
システムディレクトリ= C:\WinNT\System32
です。
|