ウイルス情報

ウイルス名 危険度

W32/Deadhat.worm.a

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4323
対応定義ファイル
(現在必要とされるバージョン)
4323 (現在7628)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 Vesser (F-Secure):W32.HLLW.Deadhat (Symantec)
情報掲載日 04/02/09
発見日(米国日付) 04/02/07
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Deadhat.worm.aは、4.2.40(以降の)スキャンエンジンと定義ファイル4273(以降)でプログラムヒューリスティックを有効にして圧縮ファイルをスキャン(デフォルトのオプション)すると、New Malware.b (特定のウイルス名ではなく、ウイルスの総称です)として検出されます。

・W32/Deadhat.worm.aは、現在、分析中です。詳細は、分析終了後、掲載します。

・W32/Deadhat.worm.aは、ピアツーピアファイル共有アプリケーションのSoulseekを介して繁殖します。 W32/Mydoom.a@MMウイルスとW32/Mydoom.b@MMウイルスが作成したリモートアクセスコンポーネントを介して繁殖を試みることもあります。感染したコンピュータを検出し、MydoomをアンインストールしてW32/Deadhat.worm.aをインストールするように指示します。W32/Deadhat.worm.aは、TCPポート2766を聴取します。また、IRCサーバにアクセスして、特定のチャネルにログインし、以降の指示を待つという指示を含んでいます。

・W32/Deadhat.worm.aが実行されると、以下の偽のエラーメッセージを表示します。

・W32/Deadhat.worm.aは、WINDOWS SYSTEMディレクトリにSMS.EXEというファイル名で自身をコピーします。 以下のレジストリ実行キーを作成して、システムの起動時に自身を読み込みます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "KernelFaultChk" = C:\WINNT\System32\sms.exe

・W32/Deadhat.worm.aは、レジストリからSoulseekのインストールパスを検索して、shared.cfg設定で読み込み、以下のファイル名で共有ディレクトリに自身をコピーします(W32/Deadhat.worm.aが実行されるたびに、ファイルを1つ作成します)。

  • WinXPKeyGen.exe
  • Windows2003Keygen.exe
  • mIRC.v6.12.Keygen.exe
  • Norton.All.Products.KeyMkr.exe
  • F-Secure.Antivirus.Keymkr.exe
  • FlashFXP.v2.1.FINAL.Crack.exe
  • SecureCRTPatch.exe
  • TweakXPProKeyGenerator.exe
  • FRUITYLOOPS.SPYWIRE.FIX.EXE
  • ALL.SERIALS.COLLECTION.2003-2004.EXE
  • WinRescue.XP.v1.08.14.exe
  • GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
  • BlindWrite.Suite.v4.5.2.Serial.Generator.exe
  • Serv-U.allversions.keymaker.exe
  • WinZip.exe
  • WinRar.exe
  • WinAmp5.Crack.exe

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・以下のプロセスを強制終了させます。これらのプロセスの一部は、Mydoomウイルス関連のプロセスです。
  • _avp
  • kfp4gui
  • kfp4ss
  • zonealarm
  • Azonealarm
  • avwupd32
  • avwin95
  • avsched32
  • avp
  • avnt
  • avkserv
  • avgw
  • avgctrl
  • avgcc32
  • ave32
  • avconsol
  • apvxdwin
  • ackwin32
  • blackice
  • blackd
  • dv95
  • espwatch
  • esafe
  • efinet32
  • ecengine
  • f-stopw
  • frw
  • fp-win
  • f-prot95
  • f-prot
  • fprot
  • f-agnt95
  • gibe
  • iomon98
  • iface
  • icsupp
  • icssuppnt
  • icmoon
  • icmon
  • icloadnt
  • icload95
  • ibmavsp
  • ibmasn
  • iamserv
  • iamapp
  • kpfw32
  • nvc95
  • nupgrade
  • nupdate
  • normist
  • nmain
  • nisum
  • navw
  • navsched
  • navnt
  • navlu32
  • navapw32
  • zapro
  • document
  • readme
  • doc
  • text
  • file
  • data
  • test
  • message
  • body
  • taskmon
  • xsharez_scanner
  • BlackIce_Firewall_Enterpriseactivation_crack
  • zapSetup_95_693
  • MS59-56_hotfix
  • winamp0
  • NessusScan_pro
  • attackXP-6.71

TOPへ戻る

感染方法

・W32/Deadhat.worm.aはSoulseekを介して繁殖し、Mydoomに感染したシステムへの繁殖を試みます。

TOPへ戻る

駆除方法

このウイルスには、4323定義ファイルで対応いたします。4323定義ファイルは03/02/12に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

TOPへ戻る