ウイルス情報

ウイルス名 危険度

W32/Almanahe!dldr

企業ユーザ: N/A
個人ユーザ: N/A
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
N/A
対応定義ファイル
(現在必要とされるバージョン)
5168 (現在7656)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2007/11/21
発見日(米国日付) 2007/11/20
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Almanahe!dldrはW32/Almanaheファイル感染ウイルスに関連するダウンローダ型トロイの木馬です。

TOPへ戻る

ウイルスの特徴

・W32/Almanahe!dldrが起動されると、すぐにdriversフォルダにルートキットコンポーネントをドロップ(作成)します(マカフィー製品はこのルートキットをW32/Almanahe.sysという名前で検出します)。

%%SYSTEM FOLDER%%\drivers\uuid.sys

・次に、ドロップしたルートキットコンポーネントをロードします。ルートキットコンポーネントがロードされるとすぐに、W32/Almanahe!dldrは以下のレジストリキーを開きます。

HKEY_CLASSES_ROOT\htmlfile\shell\open\command

・デフォルトのレジストリ値を検索し、ペイロードのダウンロードに使用可能なアプリケーションを探します。次に、見つかったプログラム(分析に使用したマシンでは、Internet Explorer 6)に悪性コードを挿入します。挿入された悪性コードが実際のダウンロードを実行します。

・次に、W32/Almanahe!dldrは挿入されたコードの制御をうつし、さらなるペイロードのダウンロードに備えます。ペイロードはupdate.exeという名前で一時フォルダに保存されます(このファイルはマカフィー製品によってW32/Almanahe.drという名前で検出されます)。

・ダウンロードが完了するとすぐに、W32/Almanahe!dldrはupdate.exeファイルを実行し、自身を削除します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • ペイロードのダウンロード中に通常にはないネットワーク活動が見られます。
  • driversフォルダにuuid.sysファイルが存在します。

TOPへ戻る

感染方法

・W32/Almanahe!dldrの実行ファイルを実行すると、悪質な活動が開始されます。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る