検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。%AppData%は、ユーザ毎のアプリケーションが保存されているフォルダを表記しています。既定では、C:\Documents and Settings\ユーザ名\Application Data
解説
■侵入(インストレーション)について
このウイルスは、実行時に、自分自身を以下のファイル名としてコピーします。
%userprofile%\%variable%\winsvc.exe
%variable%は、さまざまな文字列です。
ファイルは、実行されます。
このウイルスは、以下のレジストリを登録します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Service" = "%userprofile%\%variable%\winsvc.exe"
PC起動時に毎回実行されるようになります。
このウイルスは、以下のレジストリを登録します。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%userprofile%\%variable%\winsvc.exe" = "%userprofile%\%variable%\winsvc.exe:*:Enabled:Microsoft Windows Service"
Windowsのファイアウォールの例外処理を登録することになります。
このウイルスは、以下のレジストリを登録します。
%appdata%\winsvcns.sys
■スパムメールの配信
このウイルスは、スパムメールの配信に使用されます。
このウイルスがインターネットからダウンロードした情報によってメッセージが変わります。
■電子メールを経由した感染
このウイルスは、電子メールを経由して感染します。
このウイルスがインターネットからダウンロードした情報によってメッセージが変わります。
メッセージの本体には、以下の文言が含まれている可能性があります。
Is this you??
Picture of you???
Tell me what you think of this picture
This is the funniest picture ever!
I cant believe I still have this picture
Someone showed me your picture
Your photo isn't really that great
I love your picture!
What you think of my new hair color?
What do you think of my new hair?
You look so beautiful on this picture
You should take a look at this picture
Take a look at my new picture please
What you think of this picture?
Should I upload this picture on facebook?
Someone told me it's your picture
添付ファイルをクリックするとウイルスがを実行します。
添付ファイルの名前は、以下のとおりです。
IMG%variable%-JPG.ZIP
%variable%は、さまざまな文字列です。
■リムーバブルメディアを経由した感染
このウイルスは、リムーバブルメディアを経由して感染します。
このウイルスは、以下のファイルを作成する可能性があります。
%removabledrive%\%variable1%.exe (Win32/Phorpiex.A)
%removabledrive%\%variable2%.lnk
%removabledrive%\autorun.inf
%variable1%、%variable2%は、さまざまな文字列です。
AUTORUN.INFに、実行するウイルスのパス情報が記載されます。
このようにして、コンピュータに感染したメディアを挿入するたびに、実行されることを確実にします。
■情報漏えい
このウイルスは、以下の情報を収集します。
OSとシステムの設定情報
インストールされているアプリケーション
このウイルスは、収集した情報をリモートPCに送信します。
■その他の情報
このウイルスは、リモートコンピュータまたはインターネットから、情報や命令を取得します。
このウイルスには、URL一覧が登録されています。通信には、IRCプロトコルが使用されます。
以下の操作を実行する可能性があります。
リモートコンピュータやインターネットからファイルをダウンロード
実行可能形式のファイルを起動
スパムメールを送信
|
