W32.HLLW.Winevar

日本サイト更新日: 2002年11月27日 17:30

W32.HLLW.Winevar

発見日: 2002年11月23日 (米国時間)
最終更新日: 2002年11月26日 19:02 (米国時間)

W32.HLLW.Winevar は一部のアンチウイルスプログラムおよびファイアウォールプログラムを無効にし、W32.FunLove.4099ウイルスを投下して実行する大量メール送信ワームです。

Symantec Security Response は、お客様に、電子メールの添付ファイルのうち拡張子が.pifまたは.ceoのファイルをすべてブロックするようにお勧めします。

W32.HLLW.Winevar は3つのファイルが添付された電子メールとして届きます。添付されるファイルのファイル名は一定していませんが、次の形式の名前が付いています。

WIN[何らかの文字].TXT (12.6 KB) MUSIC_1.HTM
WIN[何らかの文字].GIF (120 bytes) MUSIC_2.CEO
WIN[何らかの文字].PIF

.HTMファイルは、Microsoft VM ActiveX コンポーネントの脆弱性を悪用して、.CEO拡張子を実行形式ファイルとして登録します。このワームが送信する電子メールは、「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」という脆弱性を悪用するように構成されていますが、バグがあるため、実際には添付ファイルは自動的に実行されません。このワームの.htm ファイルはJS.Exception.Exploitとして検出されます。

別名: W32/Korvar [McAfee], WORM_WINEVAR.A [Trend], I-Worm.Winevar [KAV]

種別: ワーム

感染サイズ: 89KB

影響を受けるシステム: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

影響を受けないシステム: Macintosh, OS/2, Unix, Linux

CVE識別番号: CVE-2000-1061, CVE-2001-0154

対応日(Intelligent Updater)*
02/11/24(米国時間)

対応日(Live Update^TM)**
02/11/24(米国時間)

* Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。

** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。
LiveUpdateの使い方については、こちらをクリックしてください。

被害状況

感染台数: 50-999
報告件数: 10以上
地域感染度: 低
対処レベル: 中
駆除: 容易

危険性評価グラフ

被害状況: 中	ダメージ: 高	感染力: 高

ダメージ

発症のタイミング: ディレクトリ名に"antivirus", "cillin", "nlab", "vacc" のいずれかが含まれるディレクトリ
発病症状: ファイル削除、サービス拒否、ウイルス投下
- 大量メール送信: .htm、.dbxファイルで発見した全メールアドレスに自分自身を送信
- ファイル削除: 上記に該当するアンチウイルス・プログラムのディレクトリに含まれる全ファイルを削除。システムへの負荷が十分に高い場合は、全ディレクトリ内の全ファイルを削除。
- ファイル改ざん: ファイル感染ウイルスである W32.Funlove.4099 を投下。
- パフォーマンス低下: システムの処理速度が低下する。
- システムの不安定化: 多数のファイル削除によりシステムが異常終了するおそれがある。

感染力

メール件名: Re: AVAR(Association of Anti-Virus Asia Reseachers) または N`4?[登録されている会社名または"Trand Microsoft Inc."]
添付ファイルのサイズ: 91089 バイト (.ceo および .pif) 609 バイト (.htm)

W32.HLLW.Winevarが初めて実行されたとき、このワームは一部のアンチウイルスおよびファイアウォールプログラムを終了し、無効にします。この活動は、すべてのサービスおよびウィンドウを列挙し、その後、プロセス名あるいはサービス名に次のいずれかの文字列を含み、

view
debu
scan
mon
vir
iom
ice
anti
fir
prot
secu
dbg
avk
pcc
spy

かつ、次の文字列を含まないプロセスあるいはサービスをすべて終了することによって行われます。

microsoft
ms
_np
r n
cicer
irmon
smtpsvc
moniker
office
program
explorewclass

すべてのプロセスおよびサービスのチェックが終わると、ワームは自分自身をレジストリに追加します。

Windows 9x/Meシステム上では、このワームは次のいずれかの値を

(標準) Win<幾つかの文字>.pif
Win<幾つかの文字> Win<幾つかの文字>.pif

次のレジストリキーで追加あるいは改変します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

また、全プラットフォーム環境で、次のいずれかの値を

(標準)
Win<幾つかの文字>

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run

ワームが実行されるたびに毎回、新規のデータがこれらの値に追加されます。

その結果、Windowsの起動時に毎回、ワームが実行するようになります。

レジストリの改変後、ワームは自分自身を %system% ディレクトリにWIN<幾つかの文字>.pifとしてコピーし、現在の時刻をミリ秒単位で表した値をパラメータとしてそのファイルを実行します。この2つ目のワームが制御を獲得すると、パラメータが渡された後の経過時間をチェックします。経過時間が512秒を超えると、ワームは次のメッセージボックスを表示し、発病症状を実行します。

発病症状が実行されると、１秒おきにアンチウイルスおよびファイアウォールプログラムを終了して無効にするルーチンを実行します。その間、ワームはワームの実行元ドライブ上にあるすべてのサブフォルダ内にある全ファイルの削除を試みます。

発病症状が実行されていなかった場合、ワームは次のミューテックスを作成しようとします。

~~ Drone of StarCraft~~

ワームはwww.symantec.comのwebページのダウンロードを試みることで、インターネットに接続しているかどうかを確認し、インターネットに接続していない場合、ワームは自身が持っているW32.Funlove.4099のコピーを投下して実行します。

インターネットに接続中の場合、ワームはそのコンピュータに登録されている会社名とユーザ名をレジストリに問い合わせます。登録されている会社名の値が存在しない場合、ワームは"Trand Microsoft Inc."という値を使用します。登録されているユーザ名が存在しない場合、ワームは"AntiVirus"という値を使用します。

その後、ワームは自分自身を%desktop%ディレクトリにEXPLORER.PIFとしてコピーします。

次に、ワームはローカルコンピュータ上に存在する固定ドライブごとに、全サブディレクトリ内の全ファイルを調べ、.HTM、.DBXファイルを探します。ただし、名前に以下のいずれかの文字列を含むサブフォルダを発見した場合、

antivirus
cillin
nlab
vacc

ワームはそれらのサブディレクトリの下の階層にある全サブフォルダ内の全ファイルを削除します。上記の文字列を含むサブディレクトリ名は、韓国、中国、日本で人気のあるアンチウイルス・ソフトウェアで使用されています。

.HTM または .DBX ファイルを発見すると、ワームはそれらのファイルに含まれているメールアドレスを探し出します。発見したメールアドレスのうち、アドレスに@microsoftが含まれていなく、メールがまだ送信されていないものに対しては、ワームはそのアドレスに自分自身を送信します。ワームはレジストリのHKEY_CLASSES_ROOT\Software\Microsoft\DataFactoryキーに受信者のリストを保存しますが、そのリストはワームが終了されるまでの間のみ保存され、ワームが再起動されるたびに削除されます。このワームは独自のSMTPクライアントエンジンを使用して電子メールを送信し、DNSルックアップを使用してメールサーバーを受信者のドメイン名から判断します。

送信されるメールには次の形式の内容が使用されます。

差出人: <登録ユーザ名または "AntiVirus"> <受信者のメールアドレス>
宛先: <受信者のメールアドレス>
件名:
Re: AVAR(Association of Anti-Virus Asia Reseachers)
または
N`4?<登録されている会社名または "Trand Microsoft Inc.">

本文:
AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish.
または
<登録ユーザ名> - <登録会社名>

.HTMまたは.DBXファイルが見つからなかったり、何らかのエラーが原因でメールが何も送信されなかった場合、ワームは前述のメッセージボックスを表示します。

メールの送信を試みた後、ワームは可能な限り頻繁にwww.symantec.comのデフォルトページを要求することによってwww.symantec.comにサービス拒否攻撃を仕掛けようとします。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
従業員に対し、次のことを徹底させる。
- 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
- インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
- 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

注意:

以下の手順は、Symantec AntiVrusおよびNorton AntiVirus製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。
W32.HLLW.Winevarは破壊的な活動を行うため、ほとんどの場合、コンピュータを感染後に再起動してしまっていた場合、駆除ツールあるいは手動による駆除作業を実行しても完全に駆除することは不可能です。これは、感染後コンピュータを再起動してしまった場合、このワームはファイル削除処理を実行し、重要なシステムファイルを削除してしまう可能性があるためです。そのような場合は削除されたファイルを未感染のバックアップコピーから復元するか、あるいは再インストールした後で駆除作業を実行してください。

注意: コンピュータがこの脅威に感染していると思われる場合は、32.HLLW.Winevarの駆除が終わるまではコンピュータをシャットダウンしたり、再起動しないでください。

駆除ツールによる駆除
Symantec Security Response ではW32.HLLW.WinevarとW32.Funlove.4099の感染を駆除する無償の駆除ツールを提供しています。これらの脅威の駆除には駆除ツールを使用すると簡単です。W32.HLLW.Winevar/W32.Funlove.4099駆除ツールの入手方法と使い方については、こちらをクリックしてください。

手動による駆除方法

ウイルス定義を最新版に更新します。
システム全体のスキャンを実行し、W32.HLLW.Winevar、W32.FunLove.4099、または JS.Exception.Exploitとして検出されたファイルをすべて削除します。
レジストリに行われた変更を元に戻します。

具体的な手順については、以下のセクションをご覧ください。

ウイルス定義を更新するには：
ウイルス定義ファイルはすべて、Symantec Security Responseによる完全品質保証テストを通過した後で弊社サーバーにアップロードされています。最新版のウイルス定義は次の2通りの方法で入手できます。

LiveUpdateを実行する方法。LiveUpdate^TM は、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdateを通じて配布されているウイルス定義ファイルは、Symantec Security Responseの完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdate^TM サーバーにアップロードされます。この脅威に対応するウイルス定義がLiveUpdateを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。
Intelligent UpdaterTM を使用してウイルス定義をダウンロードする方法。Intelligent UpdaterTM を通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日～金曜日）に随時、更新、アップロードされています。Intelligent Updater^TM によるウイルス定義ファイルは、Symantec Security ResponseのWebサイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義がIntelligent Updaterを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。

Intelligent Updaterのウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。

感染ファイルを探して削除するには：

Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
- 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
- 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
システム全体のスキャンを実行します。
W32.HLLW.Winevar、W32.FunLove.4099 または JS.Exception.Exploitに感染しているファイルが検出されたら、[削除]をクリックします。

レジストリから値を削除するには：
注意：システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。

[スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
regeditと入力し、[OK]をクリックします。レジストリエディタが開きます。
次のレジストリキーを1つずつ選択します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run
各キーごとに、次の内容と同一あるいは類似した値を探し、発見した場合はすべて削除します。

(標準) Win<幾つかの文字>.pif

Win<幾つかの文字> Win<幾つかの文字>.pif
レジストリエディタを終了します。