WORM_LEGMIR.GT
PWS:Win32/Lmir (Microsoft), PWS-LegMir (McAfee)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、「Registry Shell Spawning」という手法で特定のレジストリキーまたはレジストリ値を変更します。これにより、他のアプリケーションが実行されると、このワームも自動実行されます。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Program Files%\Common Files\iexplore.pif
- %Program Files%\Internet Explorer\iexplore.com
- %System%\command.pif
- %System%\dxdiag.com
- %System%\finder.com
- %System%\MSCONFIG.COM
- %System%\regedit.com
- %System%\rundll32.com
- %Windows%\1.com
- %Windows%\Debug\DebugProgram.exe
- %Windows%\ExERoute.exe
- %Windows%\explorer.com
- %Windows%\finder.com
- D:\pagefile.pif
- %Windows%\services.exe
自動実行方法
ワームは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Torjan Program = "%Windows%\services.exe"
ワームは、「Registry Shell Spawning」という手法で以下のレジストリキーまたはレジストリ値を変更します。これにより、特定のファイル形式のファイルが開かれると、このワームも自動実行されます。
HKEY_CLASSES_ROOT\winfiles\Shell\
Open\Command
@ = "%Windows%\ExeRoute.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\iexplore.pif\shell
@ = "%Program Files%\Common Files\iexplore.pif"
他のシステム変更
ワームは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CLASSES_ROOT\winfiles
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\iexplore.pif\shell
ワームは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Internet Explorer\
Main
Check_Associations = "No"
ワームは、以下のレジストリ値を変更します。
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
Applications\iexplore.exe\shell\
open\command
@ = ""%Program Files%\Internet Explorer\iexplore.com" %1"
(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" %1」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
.lnk\ShellNew
Command = "%System%\rundll32.com appwiz.cpl,NewLinkHere %1"
(註:変更前の上記レジストリ値は、「%System%\rundll32.exe appwiz.cpl,NewLinkHere %1」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
cplfile\shell\cplopen\
command
@ = "rundll32.com shell32.dll,Control_RunDLL "%1",%*"
(註:変更前の上記レジストリ値は、「rundll32.exe shell32.dll,Control_RunDLL "%1",%*」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
OpenHomePage\Command
@ = "%Program Files%\Internet Explorer\iexplore.com"
(註:変更前の上記レジストリ値は、「%Program Files%\Internet Explorer\iexplore.exe」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
Drive\shell\find\
command
@ = "SystemRoot%\explorer.com"
(註:変更前の上記レジストリ値は、「SystemRoot%\explorer.exe」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
dunfile\shell\open\
command
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
(註:変更前の上記レジストリ値は、「%System%\rundll32.exe NETSHELL.DLL,InvokeDunFile %1」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
ftp\shell\open\
command
@ = ""%Program Files%\Internet Explorer\iexplore.com" %1"
(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" %1」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
htmlfile\shell\open\
command
@ = ""%Program Files%\Internet Explorer\iexplore.com" -nohome"
(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" -nohome」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
htmlfile\shell\opennew\
command
@ = ""%Program Files%\Internet Explorer\iexplore.com" %1"
(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" %1」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
HTTP\shell\open\
command
@ = ""%Program Files%\Internet Explorer\iexplore.com" -nohome"
(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" -nohome」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
inffile\shell\Install\
command
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
(註:変更前の上記レジストリ値は、「%System%\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1 」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
InternetShortcut\shell\open\
command
@ = "finder.com shdocvw.dll,OpenURL %l"
(註:変更前の上記レジストリ値は、「rundll32.exe shdocvw.dll,OpenURL %l」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
scrfile\shell\install\
command
@ = "finder.com desk.cpl,InstallScreenSaver %l"
(註:変更前の上記レジストリ値は、「rundll32.exe desk.cpl,InstallScreenSaver %l」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
scriptletfile\Shell\Generate Typelib\
command
@ = ""%System%\finder.com" %System%\scrobj.dll,GenerateTypeLib "%1""
(註:変更前の上記レジストリ値は、「"%System%\rundl32.dll" %System%\scrobj.dll,GenerateTypeLib "%1"」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
telnet\shell\open\
command
@ = "finder.com url.dll,TelnetProtocolHandler %l"
(註:変更前の上記レジストリ値は、「rundll32.exe url.dll,TelnetProtocolHandler %l」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
.exe
@ = "winfiles"
(註:変更前の上記レジストリ値は、「exefile」となります。)
HKEY_CLASSES_ROOT\SOFTWARE\Classes\
.bfc\ShellNew
Command = "%System%\rundll32.com %System%\syncui.dll,Briefcase_Create %2!d! %1"
(註:変更前の上記レジストリ値は、「%System%\rundll32.exe %System%\syncui.dll,Briefcase_Create %2!d! %1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Unknown\shell\openas\
command
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
(註:変更前の上記レジストリ値は、「%System%\rundll32.exe %System%\shell32.dll,OpenAs_RunDLL %1 」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe 1"
(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)
感染活動
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[autorun]
OPEN=D:\pagefile.pif
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://account.{BLOCKED}t.com.cn/UPD/Information.asp?UID={value}&UID88={value}
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CLASSES_ROOT
- winfiles
- winfiles
- In HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif
- shell
- shell
- In HKEY_CURRENT_USER\Software
- VB and VBA Program Settings
- VB and VBA Program Settings
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Torjan Program = "%Windows%\services.exe"
- Torjan Program = "%Windows%\services.exe"
- In HKEY_CURRENT_USER\Software\Internet Explorer\Main
- Check_Associations = "No"
- Check_Associations = "No"
手順 5
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command
- From: @ = ""%Program Files%\Internet Explorer\iexplore.com" %1"
To: @ = ""%Program Files%\Internet Explorer\iexplore.exe" %1"
- From: @ = ""%Program Files%\Internet Explorer\iexplore.com" %1"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\.lnk\ShellNew
- From: Command = "%System%\rundll32.com appwiz.cpl,NewLinkHere %1"
To: Command = "%System%\rundll32.exe appwiz.cpl,NewLinkHere %1"
- From: Command = "%System%\rundll32.com appwiz.cpl,NewLinkHere %1"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\cplfile\shell\cplopen\command
- From: @ = "rundll32.com shell32.dll,Control_RunDLL "%1",%*"
To: @ = "rundll32.exe shell32.dll,Control_RunDLL "%1",%*"
- From: @ = "rundll32.com shell32.dll,Control_RunDLL "%1",%*"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
- From: @ = "%Program Files%\Internet Explorer\iexplore.com"
To: @ = "%Program Files%\Internet Explorer\iexplore.exe"
- From: @ = "%Program Files%\Internet Explorer\iexplore.com"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\Drive\shell\find\command
- From: @ = "SystemRoot%\explorer.com"
To: @ = "SystemRoot%\explorer.exe"
- From: @ = "SystemRoot%\explorer.com"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\dunfile\shell\open\command
- From: @ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
To: @ = "%System%\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"
- From: @ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\ftp\shell\open\command
- From: @ = ""%Program Files%\Internet Explorer\iexplore.com" %1"
To: @ = ""%Program Files%\Internet Explorer\iexplore.exe" %1"
- From: @ = ""%Program Files%\Internet Explorer\iexplore.com" %1"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\htmlfile\shell\open\command
- From: @ = ""%Program Files%\Internet Explorer\iexplore.com" -nohome"
To: @ = ""%Program Files%\Internet Explorer\iexplore.exe" -nohome"
- From: @ = ""%Program Files%\Internet Explorer\iexplore.com" -nohome"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\htmlfile\shell\opennew\command
- From: @ = ""%Program Files%\Internet Explorer\iexplore.com" %1"
To: @ = ""%Program Files%\Internet Explorer\iexplore.exe" %1"
- From: @ = ""%Program Files%\Internet Explorer\iexplore.com" %1"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\HTTP\shell\open\command
- From: @ = ""%Program Files%\Internet Explorer\iexplore.com" -nohome"
To: @ = ""%Program Files%\Internet Explorer\iexplore.exe" -nohome"
- From: @ = ""%Program Files%\Internet Explorer\iexplore.com" -nohome"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\inffile\shell\Install\command
- From: @ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
To: @ = "%System%\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
- From: @ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\InternetShortcut\shell\open\command
- From: @ = "finder.com shdocvw.dll,OpenURL %l"
To: @ = "rundll32.exe shdocvw.dll,OpenURL %l"
- From: @ = "finder.com shdocvw.dll,OpenURL %l"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\scrfile\shell\install\command
- From: @ = "finder.com desk.cpl,InstallScreenSaver %l"
To: @ = "rundll32.exe desk.cpl,InstallScreenSaver %l"
- From: @ = "finder.com desk.cpl,InstallScreenSaver %l"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\scriptletfile\Shell\Generate Typelib\command
- From: @ = ""%System%\finder.com" %System%\scrobj.dll,GenerateTypeLib "%1""
To: @ = ""%System%\rundll32.exe" %System%\scrobj.dll,GenerateTypeLib "%1""
- From: @ = ""%System%\finder.com" %System%\scrobj.dll,GenerateTypeLib "%1""
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open\command
- From: @ = "finder.com url.dll,TelnetProtocolHandler %l"
To: @ = "rundll32.exe url.dll,TelnetProtocolHandler %l"
- From: @ = "finder.com url.dll,TelnetProtocolHandler %l"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command
- From: @ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
To: @ = "%System%\rundll32.exe %System%\shell32.dll,OpenAs_RunDLL %1"
- From: @ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Shell = "Explorer.exe 1"
To: Shell = "Explorer.exe"
- From: Shell = "Explorer.exe 1"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\.exe
- From: @ = "winfiles"
To: @ = "exefile"
- From: @ = "winfiles"
- In HKEY_CLASSES_ROOT\SOFTWARE\Classes\.bfc\ShellNew
- From: Command = "%System%\rundll32.com %System%\syncui.dll,Briefcase_Create %2!d! %1"
To: Command = "%System%\rundll32.exe %System%\syncui.dll,Briefcase_Create %2!d! %1"
- From: Command = "%System%\rundll32.com %System%\syncui.dll,Briefcase_Create %2!d! %1"
手順 6
「WORM_LEGMIR.GT」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
OPEN=D:\pagefile.pif
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_LEGMIR.GT」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 8
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
手順 9
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
手順 10
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください