製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Browaf.worm
企業ユーザ:
個人ユーザ:
種別インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4770
対応定義ファイル
(現在必要とされるバージョン)
4770 (現在7495)
対応エンジン4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Win32.VB.ama (Kaspersky)Troj/Bckdr-DH (Sophos)W32/VB.AMA!tr.bdr (Fortinet)Win32/Browaf.A (CA)Win32/Browaf.A (Symantec)WORM_BROWSAFE.A (Trend Micro)
情報掲載日2006/05/26
発見日(米国日付)2006/05/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Browaf.wormはMicrosoft Visual Basicで作成され、Yahoo Messenger、IRCでW32/Browaf.wormへのリンクを含むメッセージを送信して拡散するワームです。また、自身のWebブラウザをインストールし、Internet Explorerの設定を改変し、バックグラウンドでランダムな時間ループする大音量の音楽を演奏します。

・W32/Browaf.wormは、ウイルス定義ファイル4738以降では、Generic BackDoor.bという名前でプロアクティブに検出されます。

ウイルスの特徴TOPに戻る

・実行時、以下を表示します。

・以下のファイルを作成します。

C:\TEMP\icon.ico
C:\TEMP\msinet.exe
C:\TEMP\Browser.exe
C:\TEMP\FtpBrowser.exe
C:\TEMP\Startup.exe
C:\TEMP\Sys.dll
C:\YSND\Ysnd.exe
%Userprofile%\Start Menu\Internet Browser.lnk
%Userprofile%\Start Menu\Programs\Startup\YMSND.lnk

レジストリの変更

・以下の値をレジストリに追加して、Windowsの起動時に自身を自動的に起動します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

"IE" = "C:\YSND\Ysnd.exe"

・インストールルーチンの一部として以下のレジストリキーを作成します。

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ ThePowerGoat\YahooSndKey

"CommandTxt" = "http://laman[削除]/command.txt"
"FullExePath" = "C:\YSND\Ysnd.exe"
"HomePage" = "http://laman[削除]"
"LogfilePHP" = "http://laman[削除]/install/index.php"
"TheExePath" = "C:\YSND"
"txtBrowser" = "\Browser.exe"
"txtExeName" = "\Ysnd.exe"
"txtFtpBrowser" = "\FtpBrowser.exe"
"txtInput" = "\InputRec.txt"
"txtMSINET" = "\msinet.exe"
"txtPass" = "thepowergoat"
"txtSCUTEXE" = "YMSND"
"txtSCUTWEB" = "Internet Browser"
"txtStartUp" = "\Startup.exe"
"txtSys" = "\Sys.dll"
"txtTemp" "C:\TEMP"
"txtYsnd" = "C:\YSND"

・Internet Explorerのデフォルトのホームページを改変します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

"Local Page" = "http://laman[削除]/install/index.php"
"Start Page" = "http://laman[削除]/install/index.php"
"Default_Page_URL" = http://laman[削除]/install/index.php

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・W32/Browaf.wormは自身のWebブラウザをインストールし、「Internet Browser」というアイコンで自身をスタートメニューに追加します。

・以下のURLに接続し、リモートサイトからコマンドをダウンロードして実行します。

http://laman[削除]/command.txt

・感染マシンのIPアドレスとロケーションを以下のURLにアップロードします。

http://laman[削除]/install/index.php

感染方法TOPへ戻る

・W32/Browaf.wormはYahoo Messenger、IRCでW32/Browaf.wormへのリンクを含むメッセージを送信して拡散します。以下のメッセージを感染したユーザのチャット仲間に送信します。

Yahoo:
  • New YahooBrowser http://laman[削除]/voice
  • Sss.. !!!.. :D http://www.laman[削除]/voice
  • Where Is k_m_b_g E_s_m ??? :o http://www.laman[削除]/voice
  • Who Am I ? !!!.. he he he... http://www.laman[削除]/voice

IRC:

  • Ops... Dont Kick Me Please!!!... ! http://laman[削除]/voice !

駆除方法TOPへ戻る
■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足