WORM_FILUNORK.A
Worm:Win32/Filunork.A (Microsoft)
Windows
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\vmhlp.exe
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\svc.exe
(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)
ワームは、以下のフォルダを作成します。
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP73
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP74
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internal Application Data
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internal Application Data\TemporayVolumnFiles
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\ThirdPartyAppData
(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)
作成活動
ワームは、以下のファイルを作成します。
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\mscom.dll
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\msword.dll
- %Temp%\pf2
- %Temp%\pf3
- %Temp%\pf4
- %Temp%\pf5
- %Temp%\pf6
- %Temp%\pf7
- %Temp%\pf8
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194211~C.cab
- %Temp%\pf9
- %Temp%\pf10
- %Temp%\pf11
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194211~C.mtp
- %Temp%\pf12
- %Temp%\pf13
- %Temp%\pf14
- %Temp%\pf15
- %Temp%\pf16
- %Temp%\pf17
- %Temp%\pf18
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194243~7.mts
- %Temp%\pf19
- %Temp%\pf20
- %Temp%\pf21
- %Temp%\pf22
- %Temp%\pf23
- %Temp%\pf24
- %Temp%\pf25
- %Temp%\pf26
- %Temp%\pf27
- %Temp%\pf28
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194256~7.mts
- %Temp%\pf29
- %Temp%\pf30
- %Temp%\pf31
- %Temp%\pf32
- %Temp%\pf33
- %Temp%\pf34
- %Temp%\pf35
- %Temp%\pf36
- %Temp%\pf37
- %Temp%\pf38
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194301~7.mts
- %Temp%\pf39
- %Temp%\pf40
- %Temp%\pf41
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\sp.inf
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194211~C
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194242~D
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194243~7
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194256~7
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194301~7
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194308~D
(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
以下のファイルを検索し削除します。
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\mscom.dll
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\msword.dll
- %Temp%\pf2
- %Temp%\pf3
- %Temp%\pf4
- %Temp%\pf5
- %Temp%\pf6
- %Temp%\pf7
- %Temp%\pf8
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194211~C.cab
- %Temp%\pf9
- %Temp%\pf10
- %Temp%\pf11
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194211~C.mtp
- %Temp%\pf12
- %Temp%\pf13
- %Temp%\pf14
- %Temp%\pf15
- %Temp%\pf16
- %Temp%\pf17
- %Temp%\pf18
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194243~7.mts
- %Temp%\pf19
- %Temp%\pf20
- %Temp%\pf21
- %Temp%\pf22
- %Temp%\pf23
- %Temp%\pf24
- %Temp%\pf25
- %Temp%\pf26
- %Temp%\pf27
- %Temp%\pf28
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194256~7.mts
- %Temp%\pf29
- %Temp%\pf30
- %Temp%\pf31
- %Temp%\pf32
- %Temp%\pf33
- %Temp%\pf34
- %Temp%\pf35
- %Temp%\pf36
- %Temp%\pf37
- %Temp%\pf38
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194301~7.mts
- %Temp%\pf39
- %Temp%\pf40
- %Temp%\pf41
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\sp.inf
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194211~C
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194242~D
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194243~7
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194256~7
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194301~7
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71\20141101194308~D
手順 3
以下のフォルダを検索し削除します。
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP73
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP74
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internet Application Data\S-1-5-21-5549805480-4977774949-5052555052-1057\RP71
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internal Application Data
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\Internal Application Data\TemporayVolumnFiles
- %Program Files%\Common Files\Microsoft Shared\WindowsUpdate\ThirdPartyAppData
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_FILUNORK.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください