W32.HLLW.Gemel

1. 次のシステムファイルを削除します。
• C:\Windows\Regedit.exe
• C:\Windows\System\Msconfig.exe
• C:\Command.com

2. 652バイトのテキストファイルを作成し、メモ帳プログラムでそのファイルを開きます。ファイル名は次のいずれかです。
• C:\Windows\Torres_Gemelas.txt
• C:\Windows\World_Trade_Center.txt
  
  注意: このテキストファイル自体には感染能力はないため、シマンテックのウイルス対策製品では検出されません。このファイルを発見した場合は手動で削除してください。

3. C:\Windows\Guindows フォルダを作成し、自分自身をそのフォルダにコピーします。そのときコピーされるファイルのファイル名は次のいずれかです。
• Gedzac.exe
• Zacker.exe

4. 次のいずれかの値を

GEDZAC C:\Windows\Guindows\GEDZAC.exe
Zacker C:\Windows\Guindows\Zacker.exe

次のレジストリキーに追加することによって、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Windowsの起動時に毎回、ワームが実行されるようにします。

5. 次のレジストリキー内の2つの値の値データを、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Winnt\CurrentVersion

次の内容に改変します。

RegisteredOwner Kuasanagui

および

RegisteredOrganization GEDZAC

または

RegisteredOrganization Zacker


6. 次のいずれかの値を

GEDZAC
Zacker

次のレジストリキーに追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

7. 自分自身を次のフォルダにコピーします。そのとき使用されるファイル名は、ワームが持っている多数の名前のいずれかになります。
• C:\Program Files\Grokster\My Grokster
• C:\Program Files\Morpheus\My Shared Folder
• C:\Program Files\ICQ\shared files
• C:\Program Files\KaZaA\My Shared Folder
• C:\Archiv~1\Grokster\My Grokster
• C:\Archiv~1\Morpheus\My Shared Folder
• C:\Archiv~1\ICQ\shared files
• C:\Archiv~1\KaZaA\My Shared Folder
  
  以下は、このとき使用されるファイル名の一例です。
  • WinZip
  • Norton Antivirus 2002 Crack
  • Microsoft Windows XP Crack
  • ICQ & MSN Hack-Tool
  • Worm Generator
  • Hentai XXX ScreenSaver
  • Osama Movie
  • Star Wars Episodio II
  • Britney_XXX_Pasion_Ana
  • KUASANAGUI-GEDZAC
    
    ワームのコピーには、次のいずれかの拡張子が付いている場合があります。
    • .exe
    • .scr
    • .bat
    • .pif
    • .com

8. 定期的に、自分自身をA:\Atentados Terroristaとしてコピーしようとします。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
• 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
• パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
• 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。