WORM_EBOOM.AC
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のプロセスにコードを組み込みます。
- IEXPLORE
- chrome
- firefox
- iexplore
- opera
ダウンロード活動
ワームは、以下のWebサイトにアクセスし、ファイルをダウンロードします。
- http://www.{BLOCKED}arding.com/4721605860.txt
その他
ワームは、以下の条件を満たした場合、自身を終了し、削除します。
- ファイル名に以下の文字列のいずれかを含む場合:
- malware
- sample
- sand-box
- sandbox
- test
- virus
- 感染コンピュータのコンピュータ名が以下のいずれかである場合:
- DELL-D3E62F7E26
- HOME-OFF-D5F0AC
- KAKAPROU-6405DA
- MAKKK
- Malekal
- VMG-CLIENT
- 感染コンピュータ上で確認されたユーザ名が以下のいずれかである場合:
- DELL-D3E62F7E26
- HOME-OFF-D5F0AC
- KAKAPROU-6405DA
- klasnich
- Mak
- Malekal
- VMG-CLIENT
ワームは、以下のレジストリから値を列記し、以下の仮想環境を確認します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Disk\Enum
VMware
VBox
Virtual
QEMU
ワームは、以下のファイルのいずれかがメモリ上で実行しているかを確認することで、ワームが仮想環境で実行しているかを確認します。
- cports.exe
- dumpcap.exe
- filemon.exe
- procdump.exe
- procexp.exe
- procmon.exe
- regmon.exe
- regshot.exe
- sbiectrl.exe
- squid.exe
- syssafe.exe
- tcpview
- vbox
- vmsrvc
- vmware
- wireshark.exe
また、ワームは、開かれているウィンドウかクラスが以下のいずれかを含むかを確認します。
- CurrPorts*
- Microsoft Network Monitor 3.3
- Process Monitor - Sysinternals: www.sysinternals.com
- PROCEXPL
- Regshot 1.8.2
- SmartSniff
- TCPViewClass
- The Wireshark Network Analyzer
ワームは、以下のファイルが存在するかも確認します。
- %Program Files%\Ethereal\ethereal.html
- %Program Files%\Microsoft Network Monitor 3\netmon.exe
- %Program Files%\WinPcap\rpcapd.exe
- %Program Files%\WireShark\rawshark.exe
(註:%Program Files%は、標準設定では "C:\Program Files" です。)
ワームは、以下のWebサイト上でのメッセージの投稿、投稿済みメッセージの削除およびプライベートメッセージの送信などを確認することにより、Webサイト上でのユーザの活動を監視します。
- Meebo
- MySpace
- WordPress
ワームは、上述のWebサイト上でのメッセージの投稿によって拡散します。投稿されたメッセージは、自身のコピーへ誘導するURLを含んでいます。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_EBOOM.AC」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
「WORM_EBOOM.AC」として検出されたファイルを検索し削除します。
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_EBOOM.AC」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください