ウイルス情報

ウイルス名 危険度

Downloader-AWV.dr

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4787
対応定義ファイル
(現在必要とされるバージョン)
4788 (現在7628)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Exploit.ControlExcel.A (BitDefender)
TROJ_EMBED.AN (Trend Micro)
Trojan-Dropper.MSExcel.CVE-2006-3059.a (Kaspersky)
Trojan.Mdropper.J (Symantec)
Win32/Exploit.MSExcel.Downloader (ESET)
X97M/SillyDL.AQS!Trojan (CA)
情報掲載日 2006/06/21
発見日(米国日付) 2006/06/19
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

-- 2006年6月20日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.frsirt.com/english/advisories/2006/2361

--

・Downloader-AWV.drは特殊なExcel文書を介して配信されるトロイの木馬です。この特殊なExcel文書はMicrosoft Excelのゼロデイの脆弱性を利用して、文書内に埋め込まれたWin32実行ファイルをドロップ(作成)して実行します。

TOPへ戻る

ウイルスの特徴

・文書を起動すると、Microsoft Excelがクラッシュし、埋め込まれた実行ファイルを実行します。

  • %Windir%\%SYSDIR%\svc.exe

・埋め込まれたファイルはダウンローダで、リモートIPアドレスに接続してさらに悪質ソフトウェアをダウンロードします。このダウンローダコンポーネントはDownloader-AWVという名前で検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ダウンローダコンポーネントが「iexplorer.exe」を実行し、スレッドをプロセスに挿入します。

リモートIPアドレスにアクセスして、「svchost.exe」ファイルをダウンロードします。
  • リモートIP : 210.6.90.xxx
  • ポート : 7890

TOPへ戻る

感染方法

・Downloader-AWV.drは大量送信され、Microsoft Excelのゼロデイの脆弱性を利用して、文書が開かれると、文書に埋め込まれている実行ファイルを実行します。

・このゼロデイの脆弱性に関する詳細は以下を参照してください。

http://www.frsirt.com/english/advisories/2006/2361

TOPへ戻る

駆除方法

■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足

TOPへ戻る