[参考]:PDF、PSD ファイルを破壊するウイルス
(habacchi(古い船のことしか解らない古い水夫)) Feb 2, 2006 12:18 PMマルチポストになっていますが、お許しください。
PDF、PSD ファイルを破壊するウイルスが存在し2/3にわるさをします。
---以下、トレンドマイクロWebサイトの情報の抜粋---
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_GREW.A
トレンドマイクロのウイルス対策ソフトの場合、
2006/01/16 にリリースされた「3.160.03」というパターンファイル(ウイルス定義ファイル)で対応済み。
「3.160.03」より新しい最新のパターンファイルで検索して見つからなければ、ウイルスに感染していないことになります。
WORM_GREW.A
ウイルスタイプ: ワーム
別 名: グルー,グリュー, Nyxem.E,W32.Blackmal.E@mm, W32/Kapser.A@mm, W32/MyWife.d@MM, Win32/Blackmal.F
感染報告の有無: あり
プラットフォーム: Windows 98, ME, NT, 2000, XP, 2003 Server
影響を受けるソフトウェア:Windows 98, ME, NT, 2000, XP, 2003 Server
「WORM_GREW.A」の動作は以下のとおりです。
システムに自身をインストール
ワーム活動(マスメーリング(送信者詐称:あり))
ワーム活動(ネットワーク感染)
レジストリの削除
ファイルの削除
Webサイトにアクセス
PDFやPSDを実際にどんな風に壊すのか?
ワームは、PDF、PSD ファイルを以下の文字列で上書きします。
DATA Error [47 0F 94 93 F4 K5]
(メモ帳等のテキストエディタで開くとこうなっているのでしょうー未確認)
感染確認方法:
システムのルート(通常C:ドライブ)に "Temp.htt" というファイルを作成
<Windowsシステムフォルダ>※内に以下のファイルを作成
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE
<Windowsフォルダ>※内に "Rundll16.exe" および "WINZIP_TMP.EXE" というファイルを作成
以下のファイルを作成
movies.exe
New WinZip File.exe
Zipped Files.exe
レジストリ値を追加
レジストリ値を改変
ワームは、作成したファイルがWindows起動時に自動実行されるように以下のレジストリ値を追加します。
場所:
HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run
値:
ScanRegistry = "scanregw.exe /scan"
Windows 98の場合、ワームは、作成したファイルがWindows起動時に自動実行されるように以下のレジストリ値を改変します。
場所:
HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run
値(改変前):
ScanRegistry = "<Windowsシステムフォルダ>/scanregw.exe /autorun"
値(改変後):
ScanRegistry = "scanregw.exe /scan"
自動削除手順:
以下のツールを使用して、システムの修復が可能です。このワームの検出名は「WORM_GREW.A」です。
ダウンロードはこちらから:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
「システムクリーナー」の使用方法
以下の「システムクリーナー」自動ツールをダウンロードします。
システムクリーナー自動ツール(auto_tsc.com)(使用許諾のページが最初に表示されます。)
上記リンクをクリックすると、[ファイルのダウンロード」メッセージが表示されます。
「このプログラムをディスクに保存する」を選択し、デスクトップなど任意の場所に保存します。
註:可能な限り、感染していないコンピュータ上でダウンロードをしてください。
ダウンロードしたファイル(auto_tsc.com)をウイルスに感染したコンピュータ上にて実行してください。
自己解凍が開始され、以下のコマンド プロンプト(黒い画面)が開き、システムの修復処理が自動的に行われます。
コマンドプロンプト画面が自動的に閉じる、またはタイトルバーに完了と表示されれば処理終了です。
自動的に画面が閉じない場合は、閉じるボタンで終了してください。
最新のバージョン(エンジン、パターンファイル)のウイルス対策プログラムを利用してウイルス検索を行い「WORM_GREW.A」として検出したファイルをすべて「削除」してください。
全ドライブ検索を行い何も検出されなければ、処理は完了です。
PDF、PSD ファイルを破壊するウイルスが存在し2/3にわるさをします。
---以下、トレンドマイクロWebサイトの情報の抜粋---
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_GREW.A
トレンドマイクロのウイルス対策ソフトの場合、
2006/01/16 にリリースされた「3.160.03」というパターンファイル(ウイルス定義ファイル)で対応済み。
「3.160.03」より新しい最新のパターンファイルで検索して見つからなければ、ウイルスに感染していないことになります。
WORM_GREW.A
ウイルスタイプ: ワーム
別 名: グルー,グリュー, Nyxem.E,W32.Blackmal.E@mm, W32/Kapser.A@mm, W32/MyWife.d@MM, Win32/Blackmal.F
感染報告の有無: あり
プラットフォーム: Windows 98, ME, NT, 2000, XP, 2003 Server
影響を受けるソフトウェア:Windows 98, ME, NT, 2000, XP, 2003 Server
「WORM_GREW.A」の動作は以下のとおりです。
システムに自身をインストール
ワーム活動(マスメーリング(送信者詐称:あり))
ワーム活動(ネットワーク感染)
レジストリの削除
ファイルの削除
Webサイトにアクセス
PDFやPSDを実際にどんな風に壊すのか?
ワームは、PDF、PSD ファイルを以下の文字列で上書きします。
DATA Error [47 0F 94 93 F4 K5]
(メモ帳等のテキストエディタで開くとこうなっているのでしょうー未確認)
感染確認方法:
システムのルート(通常C:ドライブ)に "Temp.htt" というファイルを作成
<Windowsシステムフォルダ>※内に以下のファイルを作成
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE
<Windowsフォルダ>※内に "Rundll16.exe" および "WINZIP_TMP.EXE" というファイルを作成
以下のファイルを作成
movies.exe
New WinZip File.exe
Zipped Files.exe
レジストリ値を追加
レジストリ値を改変
ワームは、作成したファイルがWindows起動時に自動実行されるように以下のレジストリ値を追加します。
場所:
HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run
値:
ScanRegistry = "scanregw.exe /scan"
Windows 98の場合、ワームは、作成したファイルがWindows起動時に自動実行されるように以下のレジストリ値を改変します。
場所:
HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run
値(改変前):
ScanRegistry = "<Windowsシステムフォルダ>/scanregw.exe /autorun"
値(改変後):
ScanRegistry = "scanregw.exe /scan"
自動削除手順:
以下のツールを使用して、システムの修復が可能です。このワームの検出名は「WORM_GREW.A」です。
ダウンロードはこちらから:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
「システムクリーナー」の使用方法
以下の「システムクリーナー」自動ツールをダウンロードします。
システムクリーナー自動ツール(auto_tsc.com)(使用許諾のページが最初に表示されます。)
上記リンクをクリックすると、[ファイルのダウンロード」メッセージが表示されます。
「このプログラムをディスクに保存する」を選択し、デスクトップなど任意の場所に保存します。
註:可能な限り、感染していないコンピュータ上でダウンロードをしてください。
ダウンロードしたファイル(auto_tsc.com)をウイルスに感染したコンピュータ上にて実行してください。
自己解凍が開始され、以下のコマンド プロンプト(黒い画面)が開き、システムの修復処理が自動的に行われます。
コマンドプロンプト画面が自動的に閉じる、またはタイトルバーに完了と表示されれば処理終了です。
自動的に画面が閉じない場合は、閉じるボタンで終了してください。
最新のバージョン(エンジン、パターンファイル)のウイルス対策プログラムを利用してウイルス検索を行い「WORM_GREW.A」として検出したファイルをすべて「削除」してください。
全ドライブ検索を行い何も検出されなければ、処理は完了です。
