McAfee for Small Businesses

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

・W32/Cycle.worm.aは、SVCHOST.EXEというファイル名でWindows Systemディレクトリに自身をコピーします。 %SysDir%\SVCHOST.EXE ・自身をサービス（「Host Service」）としてターゲットマシンにインストールします。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Host Service ・このサービスの特徴は、以下のとおりです。 表示名：Host Service 画像パス：%SysDir%\SVCHOST.EXE 起動：自動 ・政治的なメッセージを含むテキストファイルがCYCLONE.TXTとして%WinDir%にドロップ（作成）されます。 %WinDir%\CYCLONE.TXT（3,316バイト） ・W32/Cycle.worm.aの副作用として、LSASS.EXEファイルをクラッシュさせます。クラッシュが起きると、以下のウィンドウが表示され、システムが再起動する場合があります。

感染方法

TOPへ戻る

・W32/Cycle.worm.aはポート445上のランダムなIPアドレスをスキャンし、セキュリティホールを利用できるマシンを検索します。該当するシステムを発見すると、LSASS.EXE内のバッファをオーバーフローさせることでシステムを利用します。 ・ターゲットマシンにリモートシェルを作成し、可変ポート上で受信を待機します。次に、リモートマシンに接続し、TFTP.EXEを使用して、ウイルスに感染したホストからW32/Cycle.worm.aをダウンロードするように指示します。ダウンロードでは、ウイルスに感染したホストのポート69を使用します（感染したマシンのUDPポート69上のTFTPサーバを実行します）。成功すると、CYCLONE.EXEとしてW32/Cycle.worm.aがダウンロードされます。 注：TFTP.EXEというバイナリファイルがターゲットマシンに存在しない場合は、W32/Cycle.worm.aはマシンにダウンロードされていません。（ただし、その場合でも、LSASS.EXEの副作用であるクラッシュは発生します。） ・W32/Cycle.worm.aは、ウイルスに感染したマシンの3332ポート（TCP）を開きます。 ・また、特定の日に、以下のWebサイトにDoS攻撃を仕掛けます。 www.isna.com www.bbcnews.com ・さらに、最近発生したW32/Sasser.wormおよびW32/Netskyウイルスに関連するプロセスを終了しようとします。

駆除方法	TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足