WORM_LOVGATE.BE
Worm:Win32/Lovgate.AC@mm (Microsoft); W32/Lovgate.ac@MM (McAfee); W32.Lovgate.X@mm (Symantec); Email-Worm.Win32.LovGate.ad (Kaspersky); Worm.Win32.Lovgate.AC (v) (Sunbelt); Worm/Generic_r.Z (AVG)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\realsched.exe
- %System%\vptray.exe
- %System%\hxdef.exe
- %System%\RAVMOND.exe
- %System%\IEXPLORE.EXE
- %System%\kernel66.dll
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WinHelp = "%System%\realsched.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Hardware Profile = "%System%\hxdef.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
VFW Encoder/Decoder Settings = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft NetMeeting Associates, Inc. = "NetMeeting.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\runServices
SystemTra = "%Windows%\SysTra.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Shell Extension = "%System%\spollsv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Protected Storage = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
他のシステム変更
ワームは、以下のファイルを削除します。
- LMMIB20.DLL
ワームは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\runServices
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Windows Management Protocol v.0 (experimental)
Description = "Windows Advanced Server. Performs scheduled scans for LANguard."
作成活動
ワームは、以下のファイルを作成します。
- %System%\ODBC16.dll
- %System%\msjdbc11.dll
- %System%\MSSIGN30.DLL
- E:\love.RAR
- F:\Recent.RAR
- %System%\NetMeeting.exe
- G:\book.RAR
- %Windows%\suchost.exe
- H:\email.RAR
- I:\Recent.RAR
- J:\Documents.RAR
- K:\book.RAR
- L:\Recent.RAR
- M:\Recent.RAR
- N:\Documents.RAR
- O:\user.RAR
- P:\love.RAR
- Q:\email.RAR
- R:\Documents.RAR
- S:\Documents.RAR
- T:\email.RAR
- U:\email.RAR
- V:\Recent.RAR
- W:\email.RAR
- X:\book.RAR
- Y:\love.RAR
- Z:\love.RAR
- [:\book.RAR
- \:\email.RAR
- %System Root%\AUTORUN.INF
- results.txt
- %System%\win16.vvv
- %System Root%\COMMAND.EXE
- %Windows%\SYSTRA.EXE
- %System%\spollsv.exe
- %User Profile%\{AC76BA86-7AD7-1033-7B44-AA0000000001}\setup.exe
- msjdbc11.dll
- MSSIGN30.DLL
- LMMIB20.DLL
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
- runServices
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- WinHelp = "%System%\realsched.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Hardware Profile = "%System%\hxdef.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- VFW Encoder/Decoder Settings = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Microsoft NetMeeting Associates, Inc. = "NetMeeting.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
- SystemTra = "%Windows%\SysTra.EXE"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Shell Extension = "%System%\spollsv.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Protected Storage = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Management Protocol v.0 (experimental)
- Description = "Windows Advanced Server. Performs scheduled scans for LANguard."
手順 5
以下のファイルを検索し削除します。
- %System%\ODBC16.dll
- %System%\msjdbc11.dll
- %System%\MSSIGN30.DLL
- E:\love.RAR
- F:\Recent.RAR
- %System%\NetMeeting.exe
- G:\book.RAR
- %Windows%\suchost.exe
- H:\email.RAR
- I:\Recent.RAR
- J:\Documents.RAR
- K:\book.RAR
- L:\Recent.RAR
- M:\Recent.RAR
- N:\Documents.RAR
- O:\user.RAR
- P:\love.RAR
- Q:\email.RAR
- R:\Documents.RAR
- S:\Documents.RAR
- T:\email.RAR
- U:\email.RAR
- V:\Recent.RAR
- W:\email.RAR
- X:\book.RAR
- Y:\love.RAR
- Z:\love.RAR
- [:\book.RAR
- \:\email.RAR
- %System Root%\AUTORUN.INF
- results.txt
- %System%\win16.vvv
- %System Root%\COMMAND.EXE
- %Windows%\SYSTRA.EXE
- %System%\spollsv.exe
- %User Profile%\{AC76BA86-7AD7-1033-7B44-AA0000000001}\setup.exe
- msjdbc11.dll
- MSSIGN30.DLL
- LMMIB20.DLL
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_LOVGATE.BE」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 7
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- LMMIB20.DLL
ご利用はいかがでしたか? アンケートにご協力ください