ウイルス情報
Emailworm (0019e4ae1)
対応日 | 2010-09-10 |
驚異レベル | 低 |
種類 | ワーム |
影響のあるOS | Windows Vista Windows XP Windows 2003 Server Windows 2000 |
ファイルサイズ(バイト) | 290816 |
別名 | W32.Imsolk.B@mm (Symantec), WORM_MEYLME.B (Trend Micro) |
ウイルスの挙動
1. 自身を"csrss.exe"として%Windows%フォルダ以下にコピーする
2. 自身を"updates.exe"として%Windows%\Systemフォルダ以下にコピーする
3. 下記のファイルをWindowsフォルダ以下に作成する
ff.exe
gc.exe
ie.exe
im.exe
op.exe
pspv.exe
rd.exe
tryme1.exe
4. "SendEmail.dll"ファイルを%Windows%\Systemフォルダ以下に作成する
5. システムの起動時に自身を立ち上げるため、以下のレジストリ値を変更する
Shell = "Explorer.exe %Windows%\csrss.exe"
・場所
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
6. システムの起動時に自身を立ち上げるため、以下のレジストリ値を追加する
Debugger="csrss.exe"
・場所
駆除方法
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_aVP32.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_aVPCC.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_aVPM.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\00hoeav.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0w.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.ExE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6.bat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6fnlpetp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6x8be16.cmd