製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:D
ウイルス情報
ウイルス名危険度
W32/Deadhat.worm.a
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4323
対応定義ファイル
(現在必要とされるバージョン)
4323 (現在7495)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名Vesser (F-Secure):W32.HLLW.Deadhat (Symantec)
情報掲載日04/02/09
発見日(米国日付)04/02/07
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Deadhat.worm.aは、4.2.40(以降の)スキャンエンジンと定義ファイル4273(以降)でプログラムヒューリスティックを有効にして圧縮ファイルをスキャン(デフォルトのオプション)すると、New Malware.b (特定のウイルス名ではなく、ウイルスの総称です)として検出されます。

・W32/Deadhat.worm.aは、現在、分析中です。詳細は、分析終了後、掲載します。

・W32/Deadhat.worm.aは、ピアツーピアファイル共有アプリケーションのSoulseekを介して繁殖します。 W32/Mydoom.a@MMウイルスとW32/Mydoom.b@MMウイルスが作成したリモートアクセスコンポーネントを介して繁殖を試みることもあります。感染したコンピュータを検出し、MydoomをアンインストールしてW32/Deadhat.worm.aをインストールするように指示します。W32/Deadhat.worm.aは、TCPポート2766を聴取します。また、IRCサーバにアクセスして、特定のチャネルにログインし、以降の指示を待つという指示を含んでいます。

・W32/Deadhat.worm.aが実行されると、以下の偽のエラーメッセージを表示します。

・W32/Deadhat.worm.aは、WINDOWS SYSTEMディレクトリにSMS.EXEというファイル名で自身をコピーします。 以下のレジストリ実行キーを作成して、システムの起動時に自身を読み込みます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "KernelFaultChk" = C:\WINNT\System32\sms.exe

・W32/Deadhat.worm.aは、レジストリからSoulseekのインストールパスを検索して、shared.cfg設定で読み込み、以下のファイル名で共有ディレクトリに自身をコピーします(W32/Deadhat.worm.aが実行されるたびに、ファイルを1つ作成します)。

  • WinXPKeyGen.exe
  • Windows2003Keygen.exe
  • mIRC.v6.12.Keygen.exe
  • Norton.All.Products.KeyMkr.exe
  • F-Secure.Antivirus.Keymkr.exe
  • FlashFXP.v2.1.FINAL.Crack.exe
  • SecureCRTPatch.exe
  • TweakXPProKeyGenerator.exe
  • FRUITYLOOPS.SPYWIRE.FIX.EXE
  • ALL.SERIALS.COLLECTION.2003-2004.EXE
  • WinRescue.XP.v1.08.14.exe
  • GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
  • BlindWrite.Suite.v4.5.2.Serial.Generator.exe
  • Serv-U.allversions.keymaker.exe
  • WinZip.exe
  • WinRar.exe
  • WinAmp5.Crack.exe

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・以下のプロセスを強制終了させます。これらのプロセスの一部は、Mydoomウイルス関連のプロセスです。
  • _avp
  • kfp4gui
  • kfp4ss
  • zonealarm
  • Azonealarm
  • avwupd32
  • avwin95
  • avsched32
  • avp
  • avnt
  • avkserv
  • avgw
  • avgctrl
  • avgcc32
  • ave32
  • avconsol
  • apvxdwin
  • ackwin32
  • blackice
  • blackd
  • dv95
  • espwatch
  • esafe
  • efinet32
  • ecengine
  • f-stopw
  • frw
  • fp-win
  • f-prot95
  • f-prot
  • fprot
  • f-agnt95
  • gibe
  • iomon98
  • iface
  • icsupp
  • icssuppnt
  • icmoon
  • icmon
  • icloadnt
  • icload95
  • ibmavsp
  • ibmasn
  • iamserv
  • iamapp
  • kpfw32
  • nvc95
  • nupgrade
  • nupdate
  • normist
  • nmain
  • nisum
  • navw
  • navsched
  • navnt
  • navlu32
  • navapw32
  • zapro
  • document
  • readme
  • doc
  • text
  • file
  • data
  • test
  • message
  • body
  • taskmon
  • xsharez_scanner
  • BlackIce_Firewall_Enterpriseactivation_crack
  • zapSetup_95_693
  • MS59-56_hotfix
  • winamp0
  • NessusScan_pro
  • attackXP-6.71

感染方法TOPへ戻る
・W32/Deadhat.worm.aはSoulseekを介して繁殖し、Mydoomに感染したシステムへの繁殖を試みます。

駆除方法TOPへ戻る