Trend Micro Security

WORM_MORTO.SMB

2015年8月19日
 解析者: RonJay Kristoffer Caragay   
 別名:

Worm:Win32/Morto.J (Microsoft); W32/Morto.P!tr (Fortinet); W32/Morto.dll.e (McAfee); Mal/Morto-A (Sophos); a variant of Win32/Morto.Q worm (ESET-NOD32); W32.Morto!gen2 (Symantec); Worm.Win32.Morto.ab (v) (Sunbelt); W32/Morto.F.gen!Eldorado (generic, not disinfectable) (F-Prot); Worm.Win32.Morto (Ikarus);

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。

  詳細

ファイルサイズ 14,848 bytes
タイプ DLL
メモリ常駐 はい
発見日 2015年8月13日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

ワームが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。

ワームは、自身が"RUNDLL32.DLL"上で実行される場合、ファイル"\\TsClient\A\Moto"の開封を試みます。成功した場合、ファイル"\\TsClient\A\Moto"内のバイトを実行して、強制的にユーザをログオフさせします。

"RUNDLL32.DLL"で実行されなかった場合、ワームは、以下のレジストリ値を読み込みます。

  • HKEY_LOCAL_MACHINE\SYSTEM\Wpa
    md = "{random values}"

    • ワームは、返されたランダムな値を実行します。

      対応方法

    対応検索エンジン: 9.750
    初回 VSAPI パターンバージョン 11.738.05
    初回 VSAPI パターンリリース日 2015年6月18日
    VSAPI OPR パターンバージョン 11.739.00
    VSAPI OPR パターンリリース日 2015年6月19日

    手順 1

    Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    このマルウェアのパス名およびファイル名を確認します。
    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_MORTO.SMB」で検出したパス名およびファイル名を確認し、メモ等をとってください。

    手順 3

    Windowsをセーフモードで再起動します。

    [ 詳細 ]

    手順 4

    「WORM_MORTO.SMB」として検出されたファイルを検索し削除します。

    [ 詳細 ]
    [詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

    手順 5

    コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_MORTO.SMB」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


    ご利用はいかがでしたか? アンケートにご協力ください