種別: ワーム

対応日(Intelligent Updater)* 2000/12/21(米国時間) 対応日(Live UpdateTM)** 2000/12/21(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 50-999 報告件数: 10以上 地域感染度: 中 対処レベル: 中 駆除: 普通

危険性評価グラフ 被害状況: 高 ダメージ: 低 感染力: 高

システムに感染すると、W95.Hybris.gen ワームは alt.com.virus ニュースグループに接続しようとします。接続に成功すると、ワームは下記のことを行います。

1. 自身の暗号化されたプラグインをニュースグループにアップロード
   
2. ニュースグループメッセージのサブジェクトヘッダーを使って添付されている他のプラグインを探し、独自のフォーマットにしようとします。サブジェクトヘッダーは添付されているプラグインのバージョン番号になっています
   
3. 新しいバージョンのプラグインが見つかると、ワームは最新のモジュールをダウンロードして、自身をアップデートしようとします。
   
   

プラグインは次のうちの1つまたは複数の動作を行います。

• うずまきのイメージを作成します。特定のシステム日付と時間に（9月16日と24日、および2001年以降の毎時間の59分）、うずまきのイメージファイルは実行されます。うずまきのイメージファイルの実行時にプラグインは白と黒のうずまきイメージを表示するために使用されるOpenGLライブラリを最初にロードします。またワームは自分自身をサービスとして登録し、プログラムの強制終了のダイアログボックスに表示されるのを防ぎます。
  
  
• DOS実行プログラムに感染します。DOS用の.exeファイルの感染は、シンプルなドロッパーテクニックで行われます。ウイルスコードは小さな16ビットのドロッパールーチンとともにファイルの最後に追加されます。このルーチンは.exe拡張子のついたテンポラリファイルを\Tempフォルダに作成し、実行します。その後、このルーチンはテンポラリの実行形式ファイルを削除します。これによりWsock32.dllファイルがワームに感染します。
  
  
• PE実行形式ファイルに感染します。PE実行形式ファイルはより複雑な感染ルーチンを持っています。コードセクションに十分な余裕がある PE ファイルのみに感染します。ウイルスの感染プラグインはオリジナルのコード部分を圧縮して、もし同じ場所に収まるようであれば上書きします。この複雑で、アンチ・ヒューリスティックな感染は修復するのは非常に難しいです（ただし不可能ではありません）。現在、SARCはこのプラグインをW95.Hybris.Fとして検知します。このプラグインを除去する駆除ツールも作成されています。ここをクリックして、W95.HybrisF駆除ツールを入手してください。
  
  
• C:からZ:までのすべてのドライブ上にある.zipと.rarアーカイブファイルに感染します。.zipと.rarファイルに感染する時、ワームはアーカイブの中にある.exeファイルの拡張子を.ex$に変更し、ワーム自身のコピーを.exeファイルとしてアーカイブファイルに追加します（これはコンパニオン型感染と呼ばれるものです）。
  
  
• 暗号化されたプラグインを添付したメッセージをalt.com.virusニュースグループに送信し、そこから新しいプラグインを入手します。
  
  
• Backdoor.SubSevenトロイの木馬に感染しているリモートコンピュータにワームの感染を広げます。プラグインは、Backdoor.SubSevenに感染しているコンピュータをWebで発見し、SubSevenのコマンドを使用することでSubSevenに感染しているコンピュータにワームのコピーをアップロードします。
  
  
• ワームのコピーをポリモーフィック暗号ループで暗号化した後、そのコピーを他のユーザにメールの添付ファイルとして送信します。
  

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

一般的な駆除方法：

1. 最新のウイルス定義ファイルを入手するためにLiveUpdateを実行します。
   
2. Norton AntiVirusを起動し、すべてのファイルがスキャン対象になっていることを確認します。
   
3. コンピュータをセーフモードで起動します（Windows 95/98/Me）。
   
4. システムの完全ウイルススキャンを実行します。
   
   
   • Norton AntiVirusがW95.HybrisFを検出した場合、通常モードで再起動し、W95.HybrisF駆除ツールをダウンロードして実行してください。このツールはW95.HybrisF.plugin に感染したすべてのWindows実行形式ファイルを修復することができます。
     
   • W95.HybrisF以外の感染が見つかった場合、すべてのファイルで修復を選択してください。Norton AntiVirusがファイルを修復できない場合、削除を選択してください。
     
     
5. スキャンが終了したらノーマルモードで起動してください。
   
   

白黒のうずまき、もしくは黒の円の駆除方法：

うずまき、もしくは円は Win.ini ファイルの run= 行から呼び出されます。たいていの場合、うずまきはユーザがプログラムを起動しようとするのを妨げますので下記の手順を行ってください。

1. LiveUpdateを実行し、システムの完全スキャンを実行します。
   
2. コンピュータをセーフモードで再起動します。
   
3. Windowsの設定がすべてのファイルを表示する設定になっているか確認します。
   
4. Win.iniファイルのRun行からプラグインへの参照を削除します。
   
5. プラグインを見つけて、削除します。
   
6. Wsock32.dllファイルをCabファイルから抽出します。
   
7. LiveUpdateを実行し、システムの完全スキャンを再度実行します。
   
   

アップデートとスキャン：

1. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
   
2. Norton AntiVirusを起動し、すべてのファイルがスキャン対象になっていることを確認して、システムの完全スキャンを実行してください。
   
3. 感染しているファイルが検出されたら、[修復]をクリックします。
   
   

セーフモードでの起動：

• Windows 95:
  
  1. すべてのプログラムを終了します。
     
  2. [スタート]ボタンを押し、[Windowsの終了]をクリックします。[Windowsの終了]ダイアログボックスが表示されます。
     
  3. [コンピュータを再起動する]を選択して、[OK]をクリックします。
     
  4. 「Starting Windows 95...」というメッセージが画面上に表示されたら、F8キーを押します。Windows95 StartUp Menuが表示されます。
     
  5. セーフモードに相当する番号を選択して、Enterキーを押します。Windowsがセーフモードで起動します。
     
     
• Windows98:
  
  1. [スタート]ボタンを押し、[ファイル名を指定して実行]を選択します。
     
  2. msconfigと入力し、[OK]をクリックします。[システム設定ユーティリティ]ダイアログボックスが表示されます。
     
  3. [全般]タブの[詳細設定]をクリックします。
     
  4. [スタートアップメニューを使用可能にする]のチェックボックスをオンにし、[OK]をクリックし、再度[OK]をクリックします。
     
  5. すべてのプログラムを終了します。
     
  6. [スタート] ボタンを押し、[Windowsの終了]をクリックします。[Windowsの終了]ダイアログボックスが表示されます。
     
  7. [コンピュータを再起動する]を選択して、[OK]をクリックします。コンピュータが再起動します。
     
  8. Windows 98 StartUp Menuが表示されたら、セーフモードに相当する番号を選択して、Enterキーを押します。Windowsがセーフモードで起動します。
     
     

すべてのファイルを表示する設定にするには：

1. Windows エクスプローラを起動します。
   
2. [表示]メニュー（Windows95/98）もしくは[ツール]メニュー(Windows Me)をクリックして、[オプション]または[フォルダオプション]を選択します。
   
3. [表示]タブをクリックして、必要であれば[登録されているファイルの拡張子は表示しない]のチェックをはずします。
   
4. [すべてのファイルを表示する]をクリックして、[OK]をクリックします。
   
   

Win.ini ファイルの編集方法：

1. [スタート]ボタンをクリックして、[ファイル名を指定して実行]を選択します。
   
2. syseditと入力して [OK] をクリックします。
   
3. Win.iniファイルのタイトルバーをクリックします。
   
4. [windows] セクションで、Run= のある行に移動して、= の後にある記述を書き留めます。例えば、下記のような場合：
   
   run=C:\Windows\System\amiaamia.exe
   
   amiaamia.exe というファイル名をメモしてください。
   
   
5. = の右にカーソルを置き、その後に続くテキストを削除します。削除後は次のようになります。
   
   run=
   
   
6. [ファイル]メニューをクリックして、[終了]を選択します。変更内容の保存を確認するメッセージが表示されたら [はい]をクリックします。
   
   

プラグインファイルの削除方法：

1. [スタート]-[検索]-[ファイルやフォルダ]をクリックします。
2. [探す場所]を（C:）に設定し、[サブフォルダも探す]にチェックが付いていることを確認します。
   
3. 名前の入力欄に、前のセクションのステップ4で書き留めたファイル名を入力します。
   
   注意：前のセクションのステップ4に記載しているファイル名は例にすぎません。Win.iniファイルに書かれているプラグインファイル名はある程度ランダムにつけられます（完全にはランダムではなく、多くのケースで同じ名前のファイル名であることが報告されています）。通常、ファイル名は８つの文字に.exe拡張子が付いたものになります。報告されているファイル名には４つの文字が繰り返し使用されています。下記はその一例です。
   
   
   • Gbpkgbpk.exe
     
   • Aboaaboa.exe
     
   • Enpeenpe.exe
     
   • Agaiagai.exe
     
     
4. [検索開始]をクリックします。
   
5. ファイルが見つかったら、選択して、Deleteキーを押します。確認のメッセージが表示されたら、[はい]をクリックします。
   
6. コンピュータを通常モードで再起動します。
   
   

注意：（Windows 98のみ）システム設定ユーティリティを使ってスタートアップメニューを有効にした場合、次のステップを実行することでその設定を無効にすることができます。

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。
   
2. msconfigと入力して[OK]をクリックします。システム設定ユーティリティボックスが表示されます。
3. [全般]タブにある[詳細設定]ボタンをクリックします。
   
4. [スタートアップメニューを使用可能にする]のチェックをオフにして、[OK] ボタンを押し、再度[OK]をクリックします。
5. コンピュータを再起動します。
   
   

Wsock32.dll の新しいコピーを抽出する方法：

Wsock32.dllファイルはこのウイルスに感染している可能性が非常に高く、インターネットアクセスやコンピュータの使用に不可欠なため、この手順は必ず実行する必要があります。DOSプロンプトでExtractコマンドを使って、Windowsのインストールファイルから感染していないコピーを復元してください。

ファイルは次の2つの場所から抽出することができます。

• ハードディスク上のWindowsインストールファイル。多くの新しいコンピュータ上では、Windowsのインストールファイルを含む.cabファイルがコンピュータ上のハードディスクに保存されています。ご使用のコンピュータがこれにあてはまる場合、「ハードディスク上のファイルから抽出する方法」をご覧ください。
  
  
• Microsoft Windows 95/98 インストールCD。.cab ファイルがハードディスク上にない場合、「インストールCDから抽出する方法」をご覧ください。
  

注意： Windows 95から Windows 98へアップグレードしている場合、ハードディスク上のキャビネットファイルが Windows 98 からのものである確信がない限りは、ハードディスク上からではなくインストールCDからファイルを抽出してください。

注意：

• この手順はお客様の便宜を図るために記載されています。Windowsファイルの抽出にはMicrosoftのプログラムやコマンドを使用します。シマンテックではMicrosoft製品の保証サポートは行っておりません。Microsoft製品に関しては、Microsoftへ直接お問い合わせください。
  
  
• WindowsインストールCDには多数のバージョンが出回っています。そのバージョンによって.cabファイル内での必要なファイルがある場所は異なります。以下に示す方法では、特定の場所をコマンドに指定して抽出を実行していますが、このコマンドには"/a" スイッチも含まれています。このコマンドスイッチによって、抽出プログラムは以下に記載のキャビネットファイルを必要なファイルが見つかるまで順に調べますが、以前の.cabファイルの中は検索しません。
  
  

ハードディスク上のファイルから抽出する方法:

1. dir /s /b \precopy1.cabと入力し、Enterキーを押します。これはPrecopy1.cabファイルのパスを表示します。ファイルが見つからない場合、.cabファイルはハードディスク上にはありません。その場合、後述の「インストールCDから抽出する方法」をご覧ください。
   
   
2. Precopy1.cabのあるフォルダに移動します。
   
   
3. 次のうち、ご使用のOSに応じた手順を行います。
   
   

   注意：
   

   • コマンドを入力後、「ファイルが見つかりません」と表示された場合、コマンドを正確に入力したか確認してください。
     
   • ファイルを上書きするかどうかを尋ねるメッセージが表示されたら、Yを押してEnterキーを押してください。
     
   • Windowsが通常とは異なるパスにインストールされている場合、パスを適宜置き換えて入力してください。
     
     
   注意：例えば C:\Windows のように、抽出するファイルの保存先を入力する場合は特に注意しなければなりません。もし存在しないフォルダを指定した場合、extract コマンドは新しいフォルダを作成して、その場所にファイルを抽出します。この場合、特にユーザに知らせてはくれません。この場合、感染した Windows のシステムファイルは上書きされません。
   
   
   • Windows 98をご使用の場合、以下のコマンドを入力してEnterキーを押します。
     extract /a precopy1.cab wsock32.dll /L c:\windows\system
     
     
   • Windows 95をご使用の場合、以下のコマンドを入力してEnterキーを押します。
     extract /a win95_10.cab wsock32.dll /L c:\windows\system
     
     

インストールCDから抽出する方法：

注意：

• 下記の方法は、最も広く配布されているWindows 95/98のCDバージョンを基にしています。しかし多くのバージョンが存在し、そのうちのいくつかはフロッピーディスクで配布されているものもあります。バージョンによって、.cabファイルの場所が異なっていたり、必要なファイルが異なる.cabファイルに存在する場合がありますが、このページですべてのバージョンについての抽出方法を記載することはできません。あらかじめ、ご了承ください。
  
• 以下のコマンドが書かれているWindowsインストールCDをお持ちでない場合、コマンドをご使用のバージョンに適切なパスに変更する必要があります。また、必要なファイルを含む.cabファイルの場所を指定することも必要です。詳しくは、ドキュメント"特定のWindowsファイルが保存されているキャビネットファイルを特定する方法"をご覧ください。
  

1. Windows 98起動ディスクをフロッピーディスクドライブに挿入します。
   
2. Windows 98インストールCDをCD-ROMドライブに挿入します。
   
3. コンピュータの電源を切り、30秒待ちます。
   
4. コンピュータの電源を入れます。StartUp Menuが表示されます。
   
5. デフォルトでは "Start Computer with CD-ROM Support"が選択されています。他のメニューに変更せずに、Enterキーを押します。
   
6. A:\>プロンプトが表示されてコンピュータの起動が終了するまで数分間待ちます。
   
7. 次にCD-ROMドライブへ移動します。起動ディスクを使用しているため、CD-ROMドライブとして表示されているドライブ名より一つ後ろの文字で表示されます。例えば、Windows上でDドライブとして表示されているCD-ROMドライブは、ここではEドライブとして表示されます。
   
   次のように入力します。必要であればドライブ名を変更して、Enterキーを押してください。
   
   e:\win98 (Windows 98 用 インストールCDの場合)
   
   もしくは
   
   e:\win95 (Windows 95 用 インストールCDの場合)
   
   エラーメッセージが出た場合、別のドライブ名（f:\win98など）に変更して入力し直してください。
   
   
8. 次のうち、ご使用のOSに応じた手順を実行します。
   
   注意：
   
   • コマンドを入力後、「ファイルが見つかりません」と表示された場合、コマンドを正確に入力したか確認してください。
     
   • ファイルを上書きするかどうかというメッセージが表示されたら、Yを押し、その後、Enterキーを押してください。
     
   • Windowsが通常とは異なるパスにインストールされている場合、パスを適宜置き換えて入力してください。
     

注意：C:\Windowsのように、抽出するファイルの保存先を入力する場合は特に注意する必要があります。存在しないフォルダを指定した場合、ユーザに作成の確認をせずに、extractコマンドが新しいフォルダを作成し、その場所にファイルを抽出します。この場合、感染したWindowsのシステムファイルは上書きされません。

• Windows 98をご使用の場合、以下のコマンドを入力してEnterキーを押します。
  extract /a precopy1.cab wsock32.dll /L c:\windows\system
  
  
• Windows 95をご使用の場合、以下のコマンドを入力してEnterキーを押します。
  extract /a win95_10.cab wsock32.dll /L c:\windows\system
  
  

エラーメッセージが表示されない場合、抽出プロセスは完了したことになります。

再度スキャンを実行
すべての感染ファイルが削除されたことを確認するため、LiveUpdateを実行し、その後システムの完全スキャンを実行してください。