メッセンジャを介して広まるワームが急速に拡大しつつあります。送られてくるファイルは「img1756.zip」というもの(注:すでに亜種ありとの情報も?)。解凍までならセーフですが、中のスクリーンセーバーファイルを実行したらアウトです。とりあえず心当たりがある場合は、メッセンジャをサインアウトしましょう。話はそれから。
ちなみに僕は3名(しかもかなりセキュリティには信頼できる3名ですよ!)から同時にファイルが送られてきたため、直感的にヤバイと思って回避。
やつの正体は「W32.Scrimge.A」というワーム。危険性は少ないが、迷惑この上ないヤツだ。 発見日: 2007 年 8 月 6 日 更新日: 2007 年 8 月 7 日 1:32:13 AM ということで、生まれたてでもあり、反応しないウイルスソフトも多いとか。 今のところチェックできていたのは、ノートンとカペルスキーくらいみたい。うちのAVSはダメでした(笑 →もう検出できるとのこと。 ノートン・アンチウイルス 2007 ● 対処のポイントを抜粋しておくと… このワームは、いったん実行されると、’JFAngaY’ という名前のミューテックスを作成して、標的のコンピュータ上でこの脅威のインスタンスが 1 つのみ実行されるようにします。 その後これは、セキュリティ センターと winvnc4 サービスを停止させるために、次のファイルを投下して実行します。 その後このワームは、自分自身を次のファイルとしてコピーします。 これは、Windows が開始されるたびにこれが実行されるようにするために、次のレジストリエントリを作成し始めます。 その後このワームは、自分自身の zip されたコピーを次のファイルとして投下します。
レジストリから値を削除する [Start(スタート)]、[Run(ファイル名を指定して実行)]の順にクリックします。 注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows レジストリエディタを終了します。 最近はメールアドレスにはそもそもウイルスが届かないし、メッセンジャからウイルスが広まるなんて知らない人も多い。もちろん登録している面子のほとんどはリテラシーも高い…なんて慢心があって、いつのまにかウイルスやワームに対する緊張感が薄れていたのかもねぇ。これを機にもう一度引き締めていきまっしょい。 おすすめ平均
W32.Scrimge.A
border="0" alt="B000IHXULG" />
対処・駆除方法は?
%SystemRoot%\a.bat
%Windows%\svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\”Microsoft Genuine Logon” = “svchost.exe”
%Windows%\img1756.zip
警告: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。
regedit と入力します。
その後、[OK]をクリックします。
次のエントリへ移動して削除します。
\CurrentVersion\Run\”Microsoft Genuine Logon” = “svchost.exe”みんな油断してるかもね
油断ちゃん
吉田 戦車
経済の論理と倫理が楽しく学べます。
幼稚園児スパイ
Pingback: ウルトラへの道