WORM_AGENT.TBW
Worm:Win32/Xema.gen!A, Worm:Win32/Xema.gen!A (Microsoft); W32/Xema (McAfee); W32.Xema.A (Symantec); PAK:UPX, Trojan-Spy.Win32.Agent.qj (Kaspersky); BehavesLike.Win32.Malware (v) (Sunbelt); Win32.Worm.Agent.AI (FSecure)
Windows 2000, Windows, XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\c_10810.nls
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
ワームは、以下のフォルダを作成します。
- %System%\config\Temporary Internet Files\
- %System%\config\United States\
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
作成活動
ワームは、以下のファイルを作成します。
- %System%\config\software.chk
- %System%\shell64.dll
- %System%\inter32.dll
- %System%\c_19460.nls
- %System%\shlmon.exe
- %System%\config\Temporary Internet Files\303030303030.iau
- %System%\cx_17909.nls
- %System%\c_20462.nls
- %System%\inetsrv.exe
- %User Startup%\officexp.exe
- %System%\msregsv.exe
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" および "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。)
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}x.ru
- http://info.{BLOCKED}xp.com/cgi-bin/Owpq4.cgi
- http://info.{BLOCKED}xp.com/httpdocs/mm/brian-d3a1ff858:303030303030/Cmwhite
- http://info.{BLOCKED}xp.com/cgi-bin/Clnpp5.cgi
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
以下のフォルダを検索し削除します。
- %System%\config\Temporary Internet Files\
- %System%\config\United States\
手順 3
以下のファイルを検索し削除します。
- %System%\config\software.chk
- %System%\shell64.dll
- %System%\inter32.dll
- %System%\c_19460.nls
- %System%\shlmon.exe
- %System%\config\Temporary Internet Files\303030303030.iau
- %System%\cx_17909.nls
- %System%\c_20462.nls
- %System%\inetsrv.exe
- %User Startup%\officexp.exe
- %System%\msregsv.exe
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_AGENT.TBW」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください