キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/VB.FW


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/VB.FW	公開日：2007年6月18日
このウイルスに関する危険度 :■■□□□

名称	Win32/VB.FW
別名	Virus.Win32.HLLW.VB.ay (Kaspersky), W32/Archiles.worm (McAfee), W32.Solow (Symantec)
種別	ワーム
対応定義ファイル	バージョン 2196 ～
シグネチャ検査による結果だった場合	Win32/VB.FW ワーム
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE ウイルス」もしくは「Win32/VB ワームの亜種」という名称で警告が出ます。
影響受けるプラットフォーム	Microsoft Windows
概要	Win32/VB.FW ワームは、リムーバブルメディア上で感染を広げるワームです。また、さまざまなファイルやフォルダを削除します。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/VB.FW ワームが実行されると、ワームは自分自身を、次の場所へコピーします。

%system%\cmd.exe
%system%\regedit.exe
%system%\restore\rstrui.exe
%system%\restore\srdiag.exe
%system%\systeminit.exe
%system%\taskmgr.exe
%system%\wininit.exe
%system%\winsystem.exe
%windir%\csrss.exe
%windir%\inf\lsass.exe
%windir%\pchealth\helpctr\binaries\msconfig.exe
%windir%\regedit.exe
%windir%\smss.exe

ウイルスは、システムが開始される毎に実行できるよう、次のレジストリを登録します。このキーには、ウイルスが実行する場所を含んでいます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

さらに、次のレジストリを登録します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
" Hidden" = 1
" HideFileExt" = 1
" SuperHidden" = 1
" ShowSuperHidden" = 0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
" SearchHidden" = 0
" SearchSystemDirs" = 0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
" NoDriveTypeAutoRun" = 0
" NoFolderOptions" = 1

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
" NoFolderOptions" = 1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
" DisableRegedit" = 1
" DisableTaskMgr" = 1
" DisableRegistryTools" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
" Start" = 1

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
" Window Title" = "Hacked by 1BYTE"

HKEY_CURRENT_USER\Software\Microsoft\ServicePack

HKEY_CURRENT_USER\Software\Microsoft\nFlag

■拡散について

ワームはさらに拡散するために、次のファイル名を使ってすべてのドライブのルートディレクトリに自分自身をコピーします。

csrss.exe
handydriver.exe
lsass.exe
smss.exe
kerneldrive.exe
systeminit.exe
wininit.exe
winlogon.exe
winsystem.exe

同じ場所に次のファイルを作成します。これは、メディアを挿入した時にワームが自動実行できるようにするために仕組まれます。

autorun.inf

■その他の情報

ワームはレジストリより実行したときの全実行回数を保存します。ワームが特定の回数に達すると、次のさまざまなファイルやフォルダを削除します。

%systemdrive%\boot.ini
%systemdrive%\IO.SYS
%systemdrive%\MSDOS.SYS
%systemdrive%\NTDETECT.COM
%systemdrive%\ntldr
Documents and Settings
Program Files