VBS_WIMMIE.SMC
TrojanDownloader:VBS/Wimmie.A (Microsoft), Backdoor.Trojan (Symantec), Trojan.VBS.Small.bq (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、実行されると、Windowsのシステム管理用インターフェイス「Windows Management Instrumentation(WMI)」を利用し、不正なJScriptを書き込みます。このスクリプトは、リモートサイトにアクセスし、他の不正なファイルのダウンロードおよび任意のコードを実行します。WMIスクリプトを作成することは、ユーザから不正なスクリプトを隠匿するために有効です。マルウェアは、自身の活動が完了すると、自身および自身を作成したマルウェアを削除します。
マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
マルウェアは、他のファイルを作成する機能を備えていません。
マルウェアは、ダウンロードする機能を備えていません。
マルウェアは、情報収集する機能を備えていません。
詳細
侵入方法
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- TROJ_WIMMIE.C
感染活動
マルウェアは、ワーム活動の機能を備えていません。
作成活動
マルウェアは、他のファイルを作成する機能を備えていません。
ダウンロード活動
マルウェアは、ダウンロードする機能を備えていません。
情報漏えい
マルウェアは、情報収集する機能を備えていません。
その他
マルウェアは、実行されると、Windowsのシステム管理用インターフェイス「Windows Management Instrumentation(WMI)」を利用し、不正なJScriptを書き込みます。このスクリプトは、リモートサイトにアクセスし、他の不正なファイルのダウンロードおよび任意のコードを実行します。WMIスクリプトを作成することは、ユーザから不正なスクリプトを隠匿するために有効です。マルウェアは、自身の活動が完了すると、自身および自身を作成したマルウェアを削除します。
マルウェアは、不正な「__EventConsumer」を以下のように保存します。
- Microsoft WMI Comsumer Security Event_consumer
マルウェアは、作成した「__EventConsumer」を「permanent event consumer(永続的イベントコンシューマ)」として登録するため、以下の「__EventFilter」を作成します。また、マルウェアは、作成した不正なスクリプトを自動実行する機能があります。
- Microsoft WMI Comsumer Security Event_filter
イベントを30秒ごとに発生させる「__IntervalTimerInstruction」を以下の名称で作成します。こうして、不正なスクリプトが30秒ごとに実行されます。
- Microsoft WMI Comsumer Security Event_WMITimer
上記で作成した「__EventConsumer」と「__EventFilter」を関連付けるために「__FiltertoConsumerBinding」を作成し、実行します。
不正なスクリプトが実行されると、以下のWebサイトにアクセスし、不正リモートユーザにコンピュータへの感染の通知を行います。
- http://<省略>whales.shop.co/count/count.php?m=c&n=<コンピュータ名><MACアドレス>_<マルウェアの特定のパラメータ>@
そして、マルウェアは、リモートユーザから以下のコマンドのいずれかを受信します。
- ファイルのダウンロード
- サーバへファイルのアップロード
- 感染コンピュータのIPアドレスの収集
- "cmd.exe" 経由で任意のコマンドの実行
ただし、情報公開日現在、このWebサイトにはアクセスできません。
WMIについての詳しい情報は、以下のMicrosoftのページをご参照ください。
マルウェアは、ルートキット機能を備えていません。
マルウェアは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「VBS_WIMMIE.SMC」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
不正なスクリプトの削除
WMIコマンドラインツールを用いてマルウェアが作成した不正なスクリプトを削除します:
- WMIコマンドラインを開きます。まず、[スタート]をクリックし、[ファイル名を指定して実行] をクリックします。「WMIC」と入力し、Enterキーを押します。
以下をコマンドラインツールに入力し、不正なイベント「Consumer」を削除します:
a. /namespace:\\root\subscription PATH __EventConsumer delete - 以下を削除するように指示された場合、[Y]と入力し、Enterキーを押します。他の値が表示された場合、[N]と入力し、Enterキーを押します:
\\<コンピュータ名>\\ROOT\subscription:ActiveScriptEventConsumer.Name="Microsoft WMI Comsumer Security Event_consumer"
コマンドラインツールに以下を入力し、イベント「Filter」を削除します:
a. /namespace:\\root\subscription PATH __EventFilter delete - 以下を削除するように指示された場合、[Y]と入力し、Enterキーを押します。他の値が表示された場合、[N]と入力し、Enterキーを押します:
\\<コンピュータ名>\\ROOT\subscription:__EventFilter.Name="Microsoft WMI Comsumer Security Event_filter"
コマンドラインツールに以下を入力し、イベント「TimerInstruction」を削除します:
a. /namespace:\\root\subscription PATH __TimerInstruction delete - 以下を削除するように指示された場合、[Y]と入力し、Enterキーを押します。他の値が表示された場合、[N]と入力し、Enterキーを押します:
\\<コンピュータ名>\\ROOT\subscription:__TimerInstruction.TimerId="Microsoft WMI Comsumer Security Event_WMITimer"
コマンドラインツールに以下を入力し、「__FiltertoConsumerBinding」を削除します:
a. /namespace:\\root\subscription PATH __FilterToConsumerBinding delete - 以下を削除するように指示された場合、[Y]と入力し、Enterキーを押します。他の値が表示された場合、[N]と入力し、Enterキーを押します:
\\<コンピュータ名>\\ROOT\subscription:__FilterToConsumerBinding.Consumer="\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name="Microsoft WMI Comsumer Security Event_consumer\"",Filter="\\\\.\\root\\subscription:__EventFilter.Name="Microsoft WMI Comsumer Security Event_filter\""
- 「quit」または「close」と入力し、コマンドラインツールを閉じます。
ご利用はいかがでしたか? アンケートにご協力ください
