 |
|
検出した場合の対処方法 |
|
|
共有フォルダ等で検出した場合
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
電子メール受信中に検出した場合
メール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
VBS/Iisela.A ワームが実行されると、ワームは次のフォルダを作成します。
ワームのファイルは、次のファイル名を使ってコピーされます。
フォルダの内容は、WinRARもしくはWinZIPを使って圧縮され、次のファイルが生成されます。
| |
c:\Windows\Fonts\C.Vitae.zip |
ワームは自分自身を次の場所へコピーします。
| |
%system%\msn.vbe
%windir%\system\msnmsgr.vbe
%windir%\system32\IEXPLORE.vbe
C:\windows\System\msnmsgr.vbe
C:\windows\System32\IEXPLORE.vbe
C:\Windows\System32\Setup\Messenger.vbs |
次のファイルが作成されます。
| |
C:\Documents and Settings\All
Users\Desktop\Internet Explorer.lnk
C:\Documents and Settings\All Users\Desktop\MSN
Messenger.lnk
C:\Documents and Settings\All Users\Escritorio\Internet
Explorer.lnk
C:\Documents and Settings\All Users\Escritorio\MSN
Messenger.lnk |
これらは、ワームのファイルへのショートカットです。
ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。
| |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"
MSN Messenger" = "C:\Windows\System32\Setup\Messenger.vbs" |
次のレジストリを登録します。
| |
[HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings]
" Timeout" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
" NoAdminPage" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
" Disabled" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
" NoDrives" = 67108863
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
" DisableRegistryTools" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
" NoRun" = 1 |
■電子メール経由の拡散について
ワームはさらに拡散するために、次の拡張子の1つのローカルファイルより電子メールアドレスを捜します。
| |
asp
aspx
cfm
ctt
dbx
eml
hta
htm
html
htt
htx
ini
nfo
php
shtml
wab
xls |
送信の電子メールのテキストは、スペイン語です。件名(Subject)は、次の内容です。
| |
Adjunto Curriculum Vitae para
posible vacante. |
メッセージ本文(Body)は、次のうちの内容です。
| |
Adjunto Currilum Vitae, por estar
interesado en algun puesto vacante en su empresa,me
encantaria que lo tuviera en cuenta, ya que estoy
buscando trabajo por esa zona. Sin mas, reciba
un cordial Saludo. |
添付ファイルはワームが含まれるZIP形式で圧縮されたファイルで、ファイル名は次の通りです。
さらにワームは、次のサーバーで様々なアドレスの電子メールを送信します。
| |
@movistar.es
@vodafone.es |
この時の件名(Subject)は、次の通りです。
| |
Msj Operador: Proteja su movil |
この時の本文(Body)は、次の通りです。
| |
Descarguese gratis el Antivirus
para Nokias Series 60. (6630,6680,7610,7650,N70,N90),
totalmente gratuito. |
メッセージには、次のファイルへのリンクが含まれています。
■共有フォルダ経由の拡散について
ワームは、ネットワークドライブを探します。ワームのファイルは次のファイル名を使ってコピーされます。
■その他の情報
次のプログラムを終了させます。
| |
apvxdwin.exe
AVENGINE.exe
bdnagent.exe
bdswitch.exe
mcagent.exe
mcdetect.exe
navapsvc.exe
navapw32.exe
navw32.exe
pavcl.com
PavFires.exe
savscan.exe |
いくつかのユーザーのログオンパスワードは、次のものに変更されます。
|
