img1756.zipに気をつけろ(メッセンジャワーム)

一発ネタ系記事Run,svchostexe,web,セキュリティ,テクニック,レジストリ,ワーム

メッセンジャを介して広まるワームが急速に拡大しつつあります。送られてくるファイルは「img1756.zip」というもの(注:すでに亜種ありとの情報も?)。解凍までならセーフですが、中のスクリーンセーバーファイルを実行したらアウトです。とりあえず心当たりがある場合は、メッセンジャをサインアウトしましょう。話はそれから。

ちなみに僕は3名(しかもかなりセキュリティには信頼できる3名ですよ!)から同時にファイルが送られてきたため、直感的にヤバイと思って回避。

W32.Scrimge.A

やつの正体は「W32.Scrimge.A」というワーム。危険性は少ないが、迷惑この上ないヤツだ。

発見日: 2007 年 8 月 6 日

更新日: 2007 年 8 月 7 日 1:32:13 AM

ということで、生まれたてでもあり、反応しないウイルスソフトも多いとか。

今のところチェックできていたのは、ノートンとカペルスキーくらいみたい。うちのAVSはダメでした(笑

→もう検出できるとのこと。

ノートン・アンチウイルス 2007
B000IHXULG

カペルスキー

対処・駆除方法は?

対処方法はこちらから。

対処のポイントを抜粋しておくと…

このワームは、いったん実行されると、’JFAngaY’ という名前のミューテックスを作成して、標的のコンピュータ上でこの脅威のインスタンスが 1 つのみ実行されるようにします。

その後これは、セキュリティ センターと winvnc4 サービスを停止させるために、次のファイルを投下して実行します。
%SystemRoot%\a.bat

その後このワームは、自分自身を次のファイルとしてコピーします。
%Windows%\svchost.exe

これは、Windows が開始されるたびにこれが実行されるようにするために、次のレジストリエントリを作成し始めます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\"Microsoft Genuine Logon" = “svchost.exe"

その後このワームは、自分自身の zip されたコピーを次のファイルとして投下します。
%Windows%\img1756.zip

レジストリから値を削除する
警告: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。

[Start(スタート)]、[Run(ファイル名を指定して実行)]の順にクリックします。
regedit と入力します。
その後、[OK]をクリックします。

注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。
次のエントリへ移動して削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\"Microsoft Genuine Logon" = “svchost.exe"

レジストリエディタを終了します。

みんな油断してるかもね

最近はメールアドレスにはそもそもウイルスが届かないし、メッセンジャからウイルスが広まるなんて知らない人も多い。もちろん登録している面子のほとんどはリテラシーも高い…なんて慢心があって、いつのまにかウイルスやワームに対する緊張感が薄れていたのかもねぇ。これを機にもう一度引き締めていきまっしょい。


油断ちゃん
油断ちゃん 吉田 戦車

おすすめ平均
stars経済の論理と倫理が楽しく学べます。
stars幼稚園児スパイ

Amazonで詳しく見る by G-Tools