0 返信 最新の返信: Feb 2, 2006 12:18 PM by (habacchi(古い船のことしか解らない古い水夫)) RSS

    [参考]:PDF、PSD ファイルを破壊するウイルス

    Community Member
      マルチポストになっていますが、お許しください。
      PDF、PSD ファイルを破壊するウイルスが存在し2/3にわるさをします。

      ---以下、トレンドマイクロWebサイトの情報の抜粋---
      http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_GREW.A

      トレンドマイクロのウイルス対策ソフトの場合、

      2006/01/16 にリリースされた「3.160.03」というパターンファイル(ウイルス定義ファイル)で対応済み。

      「3.160.03」より新しい最新のパターンファイルで検索して見つからなければ、ウイルスに感染していないことになります。



      WORM_GREW.A
      ウイルスタイプ: ワーム
      別 名: グルー,グリュー, Nyxem.E,W32.Blackmal.E@mm, W32/Kapser.A@mm, W32/MyWife.d@MM, Win32/Blackmal.F
      感染報告の有無: あり
      プラットフォーム: Windows 98, ME, NT, 2000, XP, 2003 Server
      影響を受けるソフトウェア:Windows 98, ME, NT, 2000, XP, 2003 Server
      「WORM_GREW.A」の動作は以下のとおりです。
      システムに自身をインストール
      ワーム活動(マスメーリング(送信者詐称:あり))
      ワーム活動(ネットワーク感染)
      レジストリの削除
      ファイルの削除
      Webサイトにアクセス

      PDFやPSDを実際にどんな風に壊すのか?

      ワームは、PDF、PSD ファイルを以下の文字列で上書きします。
      DATA Error [47 0F 94 93 F4 K5]

      (メモ帳等のテキストエディタで開くとこうなっているのでしょうー未確認)

      感染確認方法:
      システムのルート(通常C:ドライブ)に "Temp.htt" というファイルを作成
      <Windowsシステムフォルダ>※内に以下のファイルを作成
      scanregw.exe
      Update.exe
      Winzip.exe
      WINZIP_TMP.EXE

      <Windowsフォルダ>※内に "Rundll16.exe" および "WINZIP_TMP.EXE" というファイルを作成
      以下のファイルを作成
      movies.exe
      New WinZip File.exe
      Zipped Files.exe

      レジストリ値を追加
      レジストリ値を改変
      ワームは、作成したファイルがWindows起動時に自動実行されるように以下のレジストリ値を追加します。

      場所:
      HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run
      値:
      ScanRegistry = "scanregw.exe /scan"

       Windows 98の場合、ワームは、作成したファイルがWindows起動時に自動実行されるように以下のレジストリ値を改変します。

      場所:
      HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run
      値(改変前):
      ScanRegistry = "<Windowsシステムフォルダ>/scanregw.exe /autorun"
      値(改変後):
      ScanRegistry = "scanregw.exe /scan"

      自動削除手順:
      以下のツールを使用して、システムの修復が可能です。このワームの検出名は「WORM_GREW.A」です。
      ダウンロードはこちらから:
      http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
      「システムクリーナー」の使用方法
      以下の「システムクリーナー」自動ツールをダウンロードします。
      システムクリーナー自動ツール(auto_tsc.com)(使用許諾のページが最初に表示されます。)
      上記リンクをクリックすると、[ファイルのダウンロード」メッセージが表示されます。
      「このプログラムをディスクに保存する」を選択し、デスクトップなど任意の場所に保存します。
      註:可能な限り、感染していないコンピュータ上でダウンロードをしてください。
      ダウンロードしたファイル(auto_tsc.com)をウイルスに感染したコンピュータ上にて実行してください。
      自己解凍が開始され、以下のコマンド プロンプト(黒い画面)が開き、システムの修復処理が自動的に行われます。
      コマンドプロンプト画面が自動的に閉じる、またはタイトルバーに完了と表示されれば処理終了です。
      自動的に画面が閉じない場合は、閉じるボタンで終了してください。
      最新のバージョン(エンジン、パターンファイル)のウイルス対策プログラムを利用してウイルス検索を行い「WORM_GREW.A」として検出したファイルをすべて「削除」してください。
      全ドライブ検索を行い何も検出されなければ、処理は完了です。