WORM_JOLEEE.YB
Trojan.Win32.Generic!BT (Sunbelt)
Windows 2000, Windows XP, Windows Server 2003
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ワームは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、また、スパム活動の過程で、メッセージを作成します。
ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
ワームは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
ワームは、実行後、自身を削除します。
詳細
侵入方法
ワームは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下の無害なファイルを作成します。
- %System%\drivers\str.sys
- %System%\MAI3.tmp
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
ワームは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- svchost.exe
- explorer.exe
ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\{3D5A1694-CC2C-4ee7-A3D5-A879A9E3A62A}
自動実行方法
ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
ImagePath = "%System%\drivers\{random}.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
DisplayName = "{random}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
Group = "Boot Bus Extender"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
Type = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
Start = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
_MAIN = "\??\%System%\MAI3.tmp"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
RulesData = "{hex values}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
krnl_sleepfreq = "{hex values}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
krnl_servers_list = "{hex values}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}\Enum
Count = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}\Enum
NextInstance = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}\Enum
INITSTARTFAILED = "1"
ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}\Enum
感染活動
ワームは、メールを作成し、自身のスパム活動に利用します。
バックドア活動
ワームは、不正リモートユーザからの以下のコマンドを実行します。
- perform DoS/DDoS attacks
- download files from a remote computer and/or the Internet
- run executable files
- terminate running processes
- sending various information about the infected computer
- update itself to a newer version
- receive data for spam email
ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- http://{BLOCKED}3.200/536/getcfg.php
ルートキット機能
ワームは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
プロセスの終了
ワームは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- AVGIDSAgent.exe
- AVGIDSMonitor.exe
- McSvHost.exe
- MsMpEng.exe
- Normandy.sys
- RkUnhooker.exe
- RootRepeal.exe
- avfwsvc.exe
- avgam.exe
- avgchsvx.exe
- avgcsrvx.exe
- avgemc.exe
- avgfrw.exe
- avgfws9.exe
- avgnsx.exe
- avgnt.exe
- avgrsx.exe
- avgtray.exe
- avguard.exe
- avgui.exe
- avgwdsvc.exe
- avmailc.exe
- avp.exe
- avshadow.exe
- avwebgrd.exe
- ccSvcHst.exe
- cfp.exe
- cmdagent.exe
- dwengine.exe
- egui.exe
- ekrn.exe
- gmer.exe
- gmer.sys
- greypill.sys
- kl1.sys
- mcagent.exe
- mcshield.exe
- mfefire.exe
- mfevtps.exe
- msseces.exe
- rootrepeal.sys
- spideragent.exe
- spidergate.exe
- spiderml.exe
作成活動
ワームは、以下のファイルを作成します。
- %System%\drivers\{random}.sys - detected as RTKT_JOLEEE.YB
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}.73.200/536/getcfg.php
ワームは、実行後、自身を削除します。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
この「WORM_JOLEEE.YB」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。
- RTKT_JOLEEE.YB
手順 3
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_JOLEEE.YB」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- {random}
- {random}
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}
- Enum
- Enum
手順 6
以下のファイルを検索し削除します。
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_JOLEEE.YB」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください