WORM_SILLY.XGH
- マルウェアタイプ:
- 破壊活動の有無:
- 暗号化:
- 感染報告の有無:
概要
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、「ActiveXコントロール」が有効になると、ポップアップ広告を表示します。
詳細
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\csrss.exe
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = %User Profile%\csrss.exe
ワームは、以下のサービスを追加し、実行します。
- a
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {drive letter}\MUSKO
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {drive letter}\MUSKO\karikatura.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、既存の "AUTORUN.INF" に以下の文字列を追加して、このINFファイルの内容を変更します。これにより、作成した自身のコピーが自動実行されます。
- [autorun
- {garbage characters}
- open=MUSKO///karikatura.exe
- {garbage characters}
- icon=%SystemRoot%\system32\SHELL32.dll,4
- {garbage characters}
- action=Open folder to view files using Windows Explorer
- {garbage characters}
- Shell\open\command=MUSKO///karikatura.exe
- {garbage characters}
- shell\open\command=MUSKO///karikatura.exe
- {garbage characters}
- USEAUTOPLAY=1
- {garbage characters}
アドウェア活動
ワームは、ActiveXコントロールが有効になると、ポップアップ広告を表示します。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
この「WORM_SILLY.XGH」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください