ウイルス情報

Emailworm (0019e4ae1)

対応日

2010-09-10

驚異レベル

種類

ワーム

影響のあるOS

Windows Vista Windows XP Windows 2003 Server Windows 2000

ファイルサイズ(バイト)

290816

別名

W32.Imsolk.B@mm (Symantec), WORM_MEYLME.B (Trend Micro)

ウイルスの挙動

1. 自身を"csrss.exe"として%Windows%フォルダ以下にコピーする
2. 自身を"updates.exe"として%Windows%\Systemフォルダ以下にコピーする
3. 下記のファイルをWindowsフォルダ以下に作成する
ff.exe
gc.exe
ie.exe
im.exe
op.exe
pspv.exe
rd.exe
tryme1.exe
4. "SendEmail.dll"ファイルを%Windows%\Systemフォルダ以下に作成する
5. システムの起動時に自身を立ち上げるため、以下のレジストリ値を変更する
Shell = "Explorer.exe %Windows%\csrss.exe"
 ・場所
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
6. システムの起動時に自身を立ち上げるため、以下のレジストリ値を追加する
Debugger="csrss.exe"
 ・場所


駆除方法

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_aVP32.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_aVPCC.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_aVPM.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\00hoeav.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0w.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6.bat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6fnlpetp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6x8be16.cmd

EmailWorm (001989c81) < Emailworm (0019e4ae1) > EmailWorm (0005d48d1)