発見日: January 17, 2006
更新日: February 13, 2007 1:06:33 PM
別名: CME-24, Win32.Blackmal.F [Computer Ass, Email-Worm.Win32.Nyxem.e [F-Se, Email-Worm.Win32.Nyxem.e [Kasp, W32/MyWife.d@MM [McAfee], W32/MyWife.d@MM!M24 [McAfee], Win32/Mywife.E@mm [Microsoft], W32/Small.KI@mm [Norman], Tearec.A [Panda Software], W32/Nyxem-D [Sophos], WORM_GREW.{A, B} [Trend Micro]
種別: Worm
影響を受けるシステム: Windows


W32.Blackmal.E@mm は、ネットワーク共有を介して拡散し、セキュリティ設定を低下させようとする、大量メール送信ワームです。これは各月の 3 日に、特定の拡張子を持つファイルを、カスタムのテキストでリライトしようとします。



ハイレベルの検出 - W32.Blackmal.E@mm の存在の判定を助ける可能性のある、いくつかの兆候があります。

  1. 独自の SMTP エンジンを使用して、自分自身のコピーを添付ファイルとして持つ E メールを送信します。

    ポート 25 のトラフィックを送信する、非-メールサーバーを探します。

  2. WNetOpenEnum を使用して、ホストコンピューターと同じドメイン内にあるコンピューターを列挙します。その後、そのコンピューターへ接続するために、ワームはコマンド "net use \\[コンピューター名] /user:administrator """ を実行します。しかし、標的のコンピューターのユーザーが他のネットワークコンピューターへすでに接続している場合は、このワームはその接続を使用することができます。

    ブルートパスワード攻撃のために、ロックされているユーザーアカウントを探します。

  3. 次の URL へのアクセスを試みます。[http://]webstats.web.rcn.net/[削除済み]/Count.cgi?df=765247

    この Web サイトへアクセスしたコンピューターを探します。隔離して駆除ツールを使用するか、または更新された定義を用いてスキャンします。


ウイルス対策日

  • Rapid Release 初回バージョン January 17, 2006
  • Rapid Release 最新バージョン May 10, 2018 リビジョン 039
  • Daily Certified 初回バージョン January 17, 2006
  • Daily Certified 最新バージョン May 11, 2018 リビジョン 001
  • Weekly Certified 初回リリース日 January 17, 2006

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Rodney Andres

発見日: January 17, 2006
更新日: February 13, 2007 1:06:33 PM
別名: CME-24, Win32.Blackmal.F [Computer Ass, Email-Worm.Win32.Nyxem.e [F-Se, Email-Worm.Win32.Nyxem.e [Kasp, W32/MyWife.d@MM [McAfee], W32/MyWife.d@MM!M24 [McAfee], Win32/Mywife.E@mm [Microsoft], W32/Small.KI@mm [Norman], Tearec.A [Panda Software], W32/Nyxem-D [Sophos], WORM_GREW.{A, B} [Trend Micro]
種別: Worm
影響を受けるシステム: Windows


W32.Blackmal.E@mm が実行されると、次のことを行います。

  1. 次のいずれかのファイルとして自分自身をコピーします。

    • %Windir%\Rundll16.exe
    • %System%\WINZIP_TMP.EXE
    • %System%\SAMPLE.ZIP
    • %System%\New WinZip File.exe
    • movies.exe
    • Zipped Files.exe


      注意:
    • %Windir% is a variable that refers to the Windows installation folder. By default, this is C:\Windows or C:\Winnt.
    • %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

  2. 次のいずれかのファイルとして自分自身をコピーします。

    • %System%\scanregw.exe
    • %System%\Winzip.exe
    • %System%\Update.exe


      注意: このワームは上記のファイルを監視し、それらが削除されると再作成します。

  3. %System% フォルダ内のワーム自身と同じ名前のファイル名を使用して、空の .zip ファイルを作成します。その後、その機能を隠すために、このファイルを開きます。

  4. ネットワークの接続に使用されるクリーンな Microsoft コントロールである、ファイル %System%\MSWINSCK.OCX を投下します。

  5. 次のレジストリサブキーへ

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    次の値を追加します。


    "ScanRegistry" = "scanregw.exe /scan"

    これにより、Windows が起動されるたびにこれが実行されるようにします。


    注意: このワームは上記のレジストリエントリを監視し、それが削除されると再作成します。

  6. 次のレジストリサブキー内の

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Advanced


    次の値を変更します。


    "WebView" = "0"
    "ShowSuperHidden" = "0"


    注意: このワームは上記のレジストリエントリを監視し、それらが削除されると再作成します。


  7. 次のレジストリサブキー内の

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\CabinetState


    次の値を変更します。


    "FullPath" = "1"


    注意: このワームは上記のレジストリエントリを監視し、それが削除されると再作成します。


  8. 次のレジストリストリサブキーへ

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Licenses

    次の値を追加します。


    "5f54e750-ce26-11cf-8e43-00a0c911005a" = "mnlnnimimnoiuilnvjkinnkitjwjnimntntm"
    "F4FC596D-DFFE-11CF-9551-00AA00A3DC45" = "mbmabptebkjcdlgtjmskjwtsdhjbmkmwtrak"
    "190B7910-992A-11cf-8AFA-00AA00C00905" = "gclclcejjcmjdcccoikjlcecoioijjcjnhng"
    "72E67120-5959-11cf-91F6-C2863C385E30" = "ibcbbbebqbdbciebmcobmbhifcmciibblgmf"
    "096EFC40-6ABF-11cf-850C-08002B30345D" = "knsgigmnmngnmnigthmgpninrmumhgkgrlrk"
    "556C75F1-EFBC-11CF-B9F3-00A0247033C4" = "xybiedobrqsprbijaegcbislrsiucfjdhisl"
    "4D553650-6ABE-11cf-8ADB-00AA00C00905" = "gfjmrfkfifkmkfffrlmmgmhmnlulkmfmqkqj"
    "57CBF9E0-6AA7-11cf-8ADB-00AA00C00905" = "aahakhchghkhfhaamghhbhbhkbpgfhahlfle"
    "9E799BF1-8817-11cf-958F-0020AFC28C3B" = "uqpqnqkjujkjjjjqwktjrjkjtkupsjnjtoun"
    "78E1BDD1-9941-11cf-9756-00AA00C00908" = "yjrjvqkjlqqjnqkjvprqsjnjvkuknjpjtoun"
    "DC4D7920-6AC8-11cf-8ADB-00AA00C00905" = "iokouhloohrojhhhtnooiokomiwnmohosmsl"
    "7C35CA30-D112-11cf-8E72-00A0C90F26F8" = "whmhmhohmhiorhkouimhihihwiwinhlosmsl"
    "2c49f800-c2dd-11cf-9ad6-0080c7e7b78d" = "mlrljgrlhltlngjlthrligklpkrhllglqlrk"
    "899B3E80-6AC6-11cf-8ADB-00AA00C00905" = "wjsjjjlqmjpjrjjjvpqqkqmqukypoqjquoun"
    "B1EFCCF0-6AC1-11cf-8ADB-00AA00C00905" = "qqkjvqpqmqjjpqjjvpqqkqmqvkypoqjquoun"
    "6FB38640-6AC7-11cf-8ADB-00AA00C00905" = "gdjkokgdldikhdddpjkkekgknesjikdkoioh"
    "E32E2733-1BC5-11d0-B8C3-00A0C90DCA10" = "kmhfimlflmmfpffmsgfmhmimngtghmoflhsg"
    "4250E830-6AC2-11cf-8ADB-00AA00C00905" = "kjljvjjjoquqmjjjvpqqkqmqykypoqjquoun"
    "BC96F860-9928-11cf-8AFA-00AA00C00905" = "mmimfflflmqmlfffrlnmofhfkgrlmmfmqkqj"


    これは、%System%\MSWINSCK.OCX ファイルが機能できるようにします。

  9. 次のレジストリサブキー内の値を変更する可能性があります。

    HKEY_CURRENT_USER\Control Panel\BMale
    HKEY_CURRENT_USER\Control Panel\DNS

  10. 標的のコンピューター上でこのワームが最初に実行される際に、マウスおよびキーボードの機能を無効にします。

  11. アンチウイルスソフトウェアの存在を検出すると、Windows タスクバー内に次のアイコンを表示します。




    注意: ユーザーがこのアイコン上にポインタを置くと、テキスト "Update Please wait" が表示されます。


  12. アクティブなウィンドウのタイトルを監視します。ユーザーが Windows Explorer でブラウズを行っている場合、ウィンドウタイトルは現在のフォルダへのパスとなります。ワームはこの情報を使用して、ファイル desktop.ini の現在のフォルダを検索します。このファイルが存在する場合は、ワームは現在のフォルダへ自分自身を WinZip_Tmp.exe としてコピーし、ファイル temp.htt を作成します。

  13. 次のファイルを削除します。

    • %ProgramFiles%\DAP\*.dll
    • %ProgramFiles%\BearShare\*.dll
    • %ProgramFiles%\Symantec\LiveUpdate\*.*
    • %ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
    • %ProgramFiles%\Norton AntiVirus\*.exe
    • %ProgramFiles%\Alwil Software\Avast4\*.exe
    • %ProgramFiles%\McAfee.com\VSO\*.exe
    • %ProgramFiles%\McAfee.com\Agent\*.*
    • %ProgramFiles%\McAfee.com\shared\*.*
    • %ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
    • %ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe
    • %ProgramFiles%\Trend Micro\Internet Security\*.exe
    • %ProgramFiles%\NavNT\*.exe
    • %ProgramFiles%\Morpheus\*.dll
    • %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
    • %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
    • %ProgramFiles%\Grisoft\AVG7\*.dll
    • %ProgramFiles%\TREND MICRO\OfficeScan\*.dll
    • %ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
    • %ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar


      注意: %ProgramFiles% は可変でプログラムファイルフォルダを参照します。標準では、このフォルダは C:\Program Files です。


  14. 次のレジストリサブキーの下で

    HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
    HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps
    HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\101
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Uninstall\Panda Antivirus 6.0 Platinum


    次の値をクエリーします。


    "Home Directory"
    "NAV"
    "Folder"
    "InstallLocation"


    それが位置するフォルダ内で見付かったすべての .exe ファイルを削除します。

  15. 次のレジストリサブキー内の

    HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal

    次の値をクエリーします。


    "Folder"

    それが位置するフォルダ内で見付かったすべてのファイルを削除します。

  16. 次のレジストリサブキー内の

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe

    次の値をクエリーします。


    "Path"

    それが位置するフォルダ内のすべての *.exe ファイルおよび *.ppl ファイルを削除します。

  17. 次のいずれかの文字列をタイトルに含むウィンドウを閉じます。

    • SYMANTEC
    • SCAN
    • KASPERSKY
    • VIRUS
    • MCAFEE
    • TREND MICRO
    • NORTON
    • REMOVAL
    • FIX

  18. 次のレジストリサブキーから

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServices


    次の値を削除します。


    PCCIOMON.exe
    pccguide.exe
    Pop3trap.exe
    PccPfw
    Tmproxy
    McAfeeVirusScanService
    NAVAgent
    PCCClient.exe
    SSDPSRV
    rtvscn95
    defwatch
    vptray
    ScanInicio
    APVXDWIN
    KAVPersonal50
    kaspersky
    TMOutbreakAgent
    AVG7_Run
    AVG_CC
    Avgserv9.exe
    AVGW
    AVG7_CC
    AVG7_EMC
    VetAlert
    VetTray
    OfficeScanNTMonitor
    avast!
    DownloadAccelerator
    BearShare


  19. 次の拡張子が付いているファイルからメールアドレスを収集します。

    .htm
    .dbx
    .eml
    .msg
    .oft
    .nws
    .vcf
    .mbx
    .imh
    .txt
    .msf

    またこのワームは、フルネーム内に次のいずれかの文字列を含むファイルから、 E メールアドレスを収集します。

    • CONTENT.
    • TEMPORARY

  20. 独自の SMTP エンジンを使用して、収集したアドレスへ自分自身を E メールとして送信しようとします。送信されるメールには次の特徴があります。

    件名:
    次のうち、いずれか

    • *Hot Movie*
    • A Great Video
    • Fw:
    • Fw: DSC-00465.jpg
    • Fw: Funny :)
    • Fw: Picturs
    • Fw: Real show
    • Fw: SeX.mpg
    • Fw: Sexy
    • Fwd: Crazy illegal Sex!
    • Fwd: image.jpg
    • Fwd: Photo
    • give me a kiss
    • Miss Lebanon 2006
    • My photos
    • Part 1 of 6 Video clipe
    • Photos
    • Re:
    • School girl fantasies gone bad

      本文:
      次のうち、いずれか

    • Note: forwarded message attached. You Must View This Videoclip!
    • >> forwarded message
    • Re: Sex Video
    • i just any one see my photos.
    • It's Free :)
    • The Best Videoclip Ever
    • Hot XXX Yahoo Groups
    • Fuckin Kama Sutra pics
    • ready to be FUCKED ;)
    • forwarded message attached.
    • VIDEOS! FREE! (US$ 0,00)
    • What?
    • i send the file.
    • Helloi attached the details.
    • Thank you
    • the file i send the details
    • hello,
    • Please see the file.
    • how are you?
    • i send the details.

      添付ファイル:
      次のうち、いずれか

    • 007.pif
    • 392315089702606E-02,.scR
    • 677.pif
    • Adults_9,zip.sCR
    • Arab sex DSC-00465.jpg
    • ATT01.zip.sCR
    • Attachments[001],B64.sCr
    • Clipe,zip.sCr
    • document.pif
    • DSC-00465.Pif
    • DSC-00465.pIf
    • eBook.pdf
    • eBook.PIF
    • image04.pif
    • New Video,zip
    • New_Document_file.pif
    • photo.pif
    • Photos,zip.sCR
    • School.pif
    • SeX,zip.scR
    • Sex.mim
    • Video_part.mim
    • WinZip,zip.scR
    • WinZip.BHX
    • WinZip.zip.sCR
    • Word XP.zip.sCR
    • Word.zip.sCR
    • 04.pif
    • DSC-00465.Pif
    • DSC-00465.pIf
    • image04.pif

      添付ファイルは、実行可能ファイル、または実行可能ファイルを含む MIME ファイルである可能性があります。MIME ファイルであるこれらの添付ファイルは、次のファイル名である可能性があります。

    • 3.92315089702606E02.UUE
    • Attachments[001].B64
    • Attachments00.HQX
    • Attachments001.BHX
    • eBook.Uu
    • Original Message.B64
    • Sex.mim
    • SeX.mim
    • Video_part.mim
    • WinZip.BHX
    • Word_Document.hqx
    • Word_Document.uu

      これらのファイルはまた、次のいずれかのファイル名を持つ可能性もあります。

    • 392315089702606E-02
    • Clipe
    • Miss
    • Photos
    • Sweet_09

      これらのファイル名は、次のいずれかの拡張子と組み合わされます。

    • .b64
    • .BHx
    • .HQX
    • .mim
    • .uu
    • .UUE
    • .XxE

      この添付ファイルが MIME ファイルである場合は、次のいずれかのファイル名を持つファイルを含む可能性があります。

    • 392315089702606E-02,UUE[ブランクスペース].scr
    • Adults_9,zip[ブランクスペース].scr
    • ATT01.zip[ブランクスペース].scr
    • Atta[001],zip[ブランクスペース].scr
    • Attachments,zip[ブランクスペース].scr
    • Attachments[001],B64[ブランクスペース].scr
    • Clipe,zip[ブランクスペース].scr
    • New Video,zip[ブランクスペース].scr
    • Photos,zip[ブランクスペース].scr
    • SeX,zip[ブランクスペース].scr
    • WinZip,zip[ブランクスペース].scr
    • WinZip.zip[ブランクスペース].scr
    • Word XP.zip[ブランクスペース].scr
    • Word.zip[ブランクスペース].scr

      添付ファイルは、次のアイコンを使用する可能性があります。



  21. ネットワーク内で次の共有フォルダを検索し、そこに自分自身を WINZIP_TMP.EXE としてコピーします。

    • ADMIN$
    • C$


      注意: またこのワームは、同じファイル名を使用して、弱いパスワードでプロテクトされているネットワーク共有へ自分自身をコピーします。

  22. 自分自身を次のファイルとしてネットワーク共有へコピーします。

    C$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe

  23. ネットワーク共有から次のファイルを削除します。

    C$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk

  24. 次の URL へのアクセスを試みます。

    [http://]webstats.web.rcn.net/[削除済み]/Count.cgi?df=765247

  25. WNetOpenEnum を使用して、ホストコンピューターと同じドメイン内にあるコンピューターを列挙します。

  26. そのコンピューターへ接続するために、コマンド "net use \\[コンピューター名] /user:administrator" を実行します。


    注意:
    • 標的のコンピューターのユーザーが他のネットワークコンピューターへすでに接続している場合は、このワームはその接続を使用することができます。
    • [コンピューター名] はリモートコンピューター名で、"" はブランクのパスワードです。


  27. 接続先のコンピューター上の次のフォルダの削除を試みます。

    • \C$\Program Files\Norton AntiVirus
    • \C$\Program Files\Common Files\symantec shared
    • \C$\Program Files\Symantec\LiveUpdate
    • \C$\Program Files\McAfee.com\VSO
    • \C$\Program Files\McAfee.com\Agent
    • \C$\Program Files\McAfee.com\shared
    • \C$\Program Files\Trend Micro\PC-cillin 2002
    • \C$\Program Files\Trend Micro\PC-cillin 2003
    • \C$\Program Files\Trend Micro\Internet Security
    • \C$\Program Files\NavNT
    • \C$\Program Files\Panda Software\Panda Antivirus Platinum
    • \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
    • \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
    • \C$\Program Files\Panda Software\Panda Antivirus 6.0
    • \C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus

  28. その時間の最後に、自分自身のコピーを実行するために、標的のコンピューター上で次のコマンドの実行を試みます。

    at [コンピューター名] [時間]:59 /interactive \\[コンピューター名]\Admin$\WINZIP_TMP.exe
    at [コンピューター名] [時間]:59 /interactive \\[コンピューター名]\C$\WINZIP_TMP.exe


    注意: [コンピューター名] はリモートコンピューター名で、[時間] は伝播が開始される時間を表します。

  29. ワームファイルである UPDATE.EXE がメモリー内にロードされて (これは、標的のコンピューターがスタートアップされた時、またはコンピューター上でこのワームが実行された時に起こります) から 30 分後に、このワームは日付がその月の 3 日であるかどうかをチェックします。これがその月の 3 日である場合は、ワームは A から Z までのアクセス可能なドライブ内の次の拡張子を持つファイルを上書きしようとします。

    • *.doc
    • *.xls
    • *.mdb
    • *.mde
    • *.ppt
    • *.pps
    • *.zip
    • *.rar
    • *.pdf
    • *.psd
    • *.dmp


      注意:
    • このワームは、最初にアクセス可能なドライブ内のファイルは上書きしません。たとえば、最初にアクセス可能なドライブが C ドライブである場合は、ワームは D から Z までのアクセス可能なドライブ内のファイルを上書きします。
    • これらのファイルは、次のテキストで上書きされます。

      DATA Error [47 0F 94 93 F4 F5]


推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Rodney Andres

発見日: January 17, 2006
更新日: February 13, 2007 1:06:33 PM
別名: CME-24, Win32.Blackmal.F [Computer Ass, Email-Worm.Win32.Nyxem.e [F-Se, Email-Worm.Win32.Nyxem.e [Kasp, W32/MyWife.d@MM [McAfee], W32/MyWife.d@MM!M24 [McAfee], Win32/Mywife.E@mm [Microsoft], W32/Small.KI@mm [Norman], Tearec.A [Panda Software], W32/Nyxem-D [Sophos], WORM_GREW.{A, B} [Trend Micro]
種別: Worm
影響を受けるシステム: Windows


W32.Blackmal@mm 駆除ツールを使用する駆除


Symantec Security Response は、W32.Blackmal.E@mm の感染を駆除するための
駆除ツール を開発しました。この脅威を最も容易に駆除する方法は、このツールを実行することです。


注意: この脅威は AV 製品を標的にするため、標的にされたいずれかのファイルが削除された場合、この駆除ツールの使用後にその AV 製品を再インストールする必要がある場合があります。


手動による駆除方法


以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック アンチウイルス製品のお客様を対象にして記述されています。
  1. システムの復元機能を無効にします (Windows Me/XP)。
  2. ウイルス定義を最新版に更新します。
  3. システム全体のスキャンを実行し、検出されたファイルをすべて削除します。
  4. レジストリに追加されたすべての価を削除します。

具体的な手順については、以下のセクションをご覧ください。


1. システムの復元オプションを無効にする (Windows Me/XP)

Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。


システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細および別の無効化方法については、"
マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウィルスが発見された場合の対応方法について " をご覧ください。


2. ウイルス定義ファイルを更新する

ウイルス定義ファイルを最新版に更新します。最新版のウイルス定義ファイルは次の 2 通りの方法で入手することができます。
  • LiveUpdate を使用して入手する方法:
    • Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上をご使用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品には、より新しいテクノロジーが含まれています。
    • Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご使用の場合は、LiveUpdate の定義は 1 週間ごとに更新されます。メジャーなウイルスが流行した場合は例外で、定義はより頻繁に更新されます。
  • Intelligent Updater を使用して入手する方法:Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。このウイルスへの対応は、ページ上部に記載の「対応日 (Intelligent Updater)」欄の日付をご覧ください。


    注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。

    Intelligent Updater のウイルス定義ファイルは、
    こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。


3. 感染ファイルを探して削除する
  1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。
  2. システム全体のスキャンを実行します。

  3. ファイルが検出されたら、[削除] をクリックします。


警告: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、" コンピュータをセーフモードで起動する方法 " をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)


この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名].Make sure you typed the name correctly, and then try again.To search for a file, click the Start button, and then click Search.


4. レジストリから値を削除する


警告: システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず " レジストリのバックアップ方法 " をお読みください。
  1. [スタート] - [ファイル名を指定して実行] をクリックします。

  2. regedit と入力します。

  3. [OK] をクリックします。


    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを作成しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  4. 次のサブキーを選択します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  5. 画面右側で、次の値を削除します。

    "ScanRegistry" = "scanregw.exe /scan"

  6. 次のサブキーを選択します。


    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Advanced


  7. 該当する場合、画面右側で次の値をオリジナル値にリセットします。

    "WebView" = "0"
    "ShowSuperHidden" = "0"


  8. 次のサブキーを選択します。

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\CabinetState


  9. 該当する場合、画面右側で次の値をオリジナル値にリセットします。

    "FullPath" = "0"

  10. レジストリエディタを終了します。


記述: Rodney Andres