>>新着対応済みウイルス
>>ウイルス危険度ランキング

>>最新ウイルスニュース

>>ウイルスINDEX/名称検索
ウイルス名
 Win32.HLLM.Generic.391
発見日
 2006/01/16
対応日 2006/01/16
種 類 ワーム
別 名 W32.Blackmal.E@mm, WORM_GREW.B
対 象 Windows 95/98/Me/NT/2000/XP
危険度
感染経路 電子メール、ネットワーク共有フォルダ
概 要

Win32.HLLM.Generic.391は、感染したコンピュータで毎月3日に「.doc」「.xls」「.ppt」「.pdf」等の拡張子を持つファイルを破壊するワームです。
当ワームが実行されると、メールアドレスをファイルから収集し、自身を添付してメールを送信します。
また、他のコンピュータのネットワーク共有フォルダへ、自身のコピーを作成することにより感染拡大するワームです。
詳 細

当ワームが実行されると、Windowsシステムフォルダに次のようなファイル名でワームのコピーを作成します。
Rundll16.exe
Rundll16.zip
scanregw.exe
Winzip.exe
Update.exe
WINZIP_TMP.EXE

*Windowsシステムフォルダは標準では、

C:\Windows\System(Windows 95/98/Me)
C:\Winnt\System32(Windows NT/2000)または
C:\Windows\System32(Windows XP)です。

当ワームは感染されたコンピュータのローカルネットワークを検索して他のコンピュータのネットワーク共有フォルダへ下記のようなファイル名でワームのコピーを作成します。

WINZIP_TMP.EXE
winzip.zip
New WinZip File.exe
Zipped Files.exemovies.exe

当ワームに感染したコンピュータでは、システム日付が毎月3日、システムが起動されてから30分後、AからZまでのアクセス可能なドライブ内の次の拡張子を持つファイルに対して上書きしようとします。

.ppt
.doc
.pdf
.xls
.zip
.rar
.mdb
.mde
.pps
.psd
.dmp

当ワームは、アクセス可能なドライブの最初のドライブ内ファイルは上書きしません。
アクセス可能な最初のドライブが Cドライブである場合は、ワームはDからZまでのアクセス可能なドライブ内のファイルに対して上書きしようとします。
これらのファイルは、次のテキストで上書きされます。

DATA Error [47 0F 94 93 F4 F5]

当ワームは、セキュリティ設定を下げるために、次のレジストリを書き換えます。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
InternetExplorer\Main\NotifyDownloadComplete="7562617"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\InternetSettings\
ZoneMap\UNCAsIntranet="1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\InternetSettings\
ZoneMap\ProxyBypass="1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\InternetSettings\
ZoneMap\IntranetName="1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\Currentversion\Explorer\ Advanced\WebView="0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\Currentversion\Explorer\ Advanced\ShowSuperHidden="0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\ CabinetState\FullPath="0"

当ワームは、次のレジストリキーに、値を追加します。

HKEY_LOCAL_MACHINE\Software\Classes\Licenses

当ワームは、次のようなレジストリキーのフォルダ内を検索し、.EXEファイルを削除します。

HKEY_LOCAL_MACHINE\Software\INTEL\
LANDesk\VirusProtect6\CurrentVersion
HKEY_LOCAL_MACHINE\Software\
Symantec\InstalledApps
HKEY_LOCAL_MACHINE\Software\
KasperskyLab\Components\101
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum
HKEY_LOCAL_MACHINE\Software\KasperskyLab\
InstalledProducts\Kaspersky Anti-Virus Personal
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\App Paths\Iface.exe

当ワームは、次のようなProgram Filesフォルダ内のファイルを削除します。

C:\Program Files\DAP\*.dll
C:\Program Files\BearShare\*.dll
C:\Program Files \Symantec\LiveUpdate\*.*
C:\Program Files \Symantec\Common Files\
Symantec Shared\*.*
C:\Program Files \Norton AntiVirus\*.exe
C:\Program Files Alwil Software\Avast4\*.exe
C:\Program Files \McAfee.com\VSO\*.exe
C:\Program Files \McAfee.com\Agent\*.*
C:\Program Files \McAfee.com\shared\*.*
C:\Program Files \Trend Micro\PC-cillin 2002\*.exe
C:\Program Files \Trend Micro\PC-cillin 2003\*.exe
C:\Program Files \Trend Micro\Internet Security\*.exe
C:\Program Files \NavNT\*.exe C:\Program Files \Morpheus\*.dll
C:\Program Files \Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
C:\Program Files \Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
C:\Program Files \Grisoft\AVG7\*.dll
C:\Program Files \TREND MICRO\OfficeScan\*.dll
C:\Program Files \Trend Micro\OfficeScan Client\*.exe
C:\Program Files \LimeWire\LimeWire 4.2.6\LimeWire.jar

当ワームは、次の文字列を含むアプリケーションを終了します。

SYMANTEC
SCAN
KASPERSKY
VIRUS
MCAFEE
TREND MICRO
NORTON
REMOVAL
FIX

当ワームは、次のいずれかのファイルがProgram Filesフォルダ内にある場合、「Update Please wait」という文字列を表示するアイコンをシステムトレイに追加します。

Norton Antivirus Kaspersky Lab Panda Software

当ワームは、次の拡張子を持っているファイルからメールアドレスを収集し、自身を添付したメールを送信します。

.dbx
.eml
.htm
.imh
.mbx
.msf
.msg
.nws
.oft
.txt
.vcf
.dmp
.doc
.mdb
.mde
.pdf
.pps
.ppt
.psd
.rar
.xls
.zip

当ワームは、次のようなメールを送信します。

差出人:偽装します。

件名:次の中からランダムに選択されます。

*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg Fw: Funny :)
Fw: Picturs Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad
Arab sex DSC-00465.jpg
eBook.pdf

本文:次の中からランダムに選択されます。

>> forwarded message
forwarded message attached.
Fuckin Kama Sutra pics
hello,
Helloi attached the details.
how are you?
Hot XXX Yahoo Groups
i just any one see my photos.
i send the details.
i send the file.
It's Free :)
Note: forwarded message attached. You Must View This Videoclip!
Please see the file.
ready to be FUCKED ;)
Re: Sex Video
The Best Videoclip Ever
VIDEOS! FREE! (US$ 0,00)
What?
Thank you
the file i send the details

添付ファイル:次の中からランダムに選択されます。
04.pif
007.pif
392315089702606E-02,.scR
677.pif
Adults_9,zip.sCR
Arab sex DSC-00465.jpg
ATT01.zip.sCR
Attachments[001],B64.sCr
Clipe,zip.sCr
document.pif
DSC-00465.Pif
eBook.pdf
eBook.PIF
image04.pif
New Video,zip
New_Document_file.pif
photo.pif
Photos,zip.sCR
School.pif
SeX,zip.scR
Sex.mim
Video_part.mim
WinZip,zip.scR
WinZip.BHX
WinZip.zip.sCR
Word XP.zip.sCR
Word.zip.sCR
駆除方法

ウイルスチェイサーでの検出及び駆除が可能です。
ウイルスチェイサーのアップデートを実行し、ウイルスチェイサーを最新の状態にアップデートして下さい。
メモリ&ブートセクタ検査を実行しワームが検出されましたら駆除して下さい。
すべてのファイルに対しウイルス検査を実行し、ワームとして検出されたファイルをすべて削除して下さい。
ワームによって書き換えられたレジストリを修正して下さい。
レジストリエディタは、画面左下にある「スタート」ボタンをクリックし、「ファイル名を指定して実行」を選択し
表示された画面に"regedit"と入力後、「OK」をクリックしますと起動します。
参 照

--