ウイルス情報

ウイルス名 危険度

W32/Elkern.cav

企業ユーザ: 中
個人ユーザ: 中
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4168
対応定義ファイル
(現在必要とされるバージョン)
4168 (現在7628)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 Elkern (F-Secure), W32.ElKern.3326 (NAV), W32/Elkern.cav.c, W32/UseMem (H+BEDV), W95/Elkern, Win32/Forous (InoculateIT), WinNT.Usem (Kaspersky), WinNT/Usem.A (GeCAD), WNT.Elkern.2372 (NAV)
亜種 W32/Elkern.cav.b, W32/Elkern.cav.c, W32/Elkern.cav.d
情報掲載日 01/10/29
発見日(米国日付) 01/10/25
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法
このウイルスには、4168定義ファイルで対応いたします。4168定義ファイルは11/01(木)に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

概要

TOPへ戻る

ウイルスの特徴

2002年7月17日更新情報
Window 2000 上でのみ複製する新亜種 W32/Elkern.cav.d が発見されました。他の亜種と同じように、感染方法に ”スプリット・キャビティ” を使用し、すでに感染したファイルかどうかを確かめる為に、”WQ”マーカーを使用します。この亜種は、W32/Klez の新亜種とは関係ありません。

2002年5月28日更新情報
W95/Elkern.cav.c は、W32/Elkern.cav.cに名称を変更しました。 最初の亜種は、Windows NT/W2K/XPでは動作しなかったのですが、この亜種では動作するので変更しました。 定義ファイル4205から変更されています。
以前の亜種W32/Elkern.cav.a-bは変更されません。

2002年4月20日更新情報
最近新しい亜種 W32/Elkern.cav.c が発見されました。これは、新しいW32/Klezの亜種、W32/Klez.hによって落とし込まれます。W32/Elkern.cav.cの検出・駆除は定義ファイル4198以降に含まれています。現在の定義ファイルでヒューリスティックスキャンを使用した時、W32/NGVCK.aまたはNew Win32として検出することがあります。

2002年1月24日更新情報
新しい亜種 W32/Elkern.cav.b が発見されました。これは、新しいW32/Klezの亜種、W32/Klez.Eによって落とし込まれます。W32/Klez.EとW32/Elkern.cav.bの検出・駆除は定義ファイル4182以降に含まれています。

・W32/Klez@MMはW32/Elkern.cavを持っており、起動されると落とし込みます。

  • Win98/MEシステム上で起動されると、\WINDOWS\SYSTEM フォルダにWQK.EXE(隠しファイル属性が付けられます)という名前でコピーします。WQK.EXEのサイズや内容は、その時その時で異なります。さらにそのリソース(アイコンが保存されいている場所)へのポインタをワイプして、アイコンが表示されなくなるように、WQK.EXEを改変します。さらにレジストリキーにエントリを追加して、PC起動毎に、WQK.EXEが起動されるようにします。

    再起動の後、このウイルスは、ランダムなEXEファイルに感染します。この際、感染先ファイルの最終セクションを拡張するか、あるいは空白部分に入り込むかを行います。後者の場合は、感染先ファイルのサイズは変更されません。

  • WinNT/2000/XPシステム上で起動されると、SYSTEM32 ディレクトリにWQK.DLLに自身をコピーし、ウイルスを起動するレジストリキー値を作成します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs=Wqk.dll

・このウイルスは、ローカルネットワークを通して広がります。発病ルーチンも保有しており、オリジナルファイルサイズを維持する間、ゼロで上書きします。その結果、重要なファイルが上書きされ、感染後にOSが起動しなくなる可能性もあります。

・コンピュータにW32/Elkern.cav ウイルス感染の疑いがある場合、W32/Klez@MMの概要を読むことを強くお薦めします。


亜種情報

亜種名 種別 相違点
W32/Elkern.cav.b 直接型ファイル感染ウイルス 定義ファイル4182対応
W32/Elkern.cav.c 直接型ファイル感染ウイルス WQK.DLL ファイルを落とし込まないか、AppInit_DLLs レジストリキー値を作成しません。
検出・駆除に定義ファイル 4198 以降をご使用ください。
W32/Elkern.cav.d 直接型ファイル感染ウイルス WQK.DLL ファイルを落とし込まないか、AppInit_DLLs レジストリキー値を作成しません。
定義ファイル 4176 以降で W32/NGVCK.d の亜種として検出されます。
削除に定義ファイル 4212 以降をご使用ください。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・WQK.EXE または WQK.DLL が隠しファイルとして C:\WINDOWS or C:\WINDOWS\SYSTEM に存在する。

・32 bit PE (.EXE) ファイルが変わっている。

・Windowsを起動できない。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

TOPへ戻る