製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス名危険度
W32/Elkern.cav
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4168
対応定義ファイル
(現在必要とされるバージョン)
4168 (現在7605)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名Elkern (F-Secure), W32.ElKern.3326 (NAV), W32/Elkern.cav.c, W32/UseMem (H+BEDV), W95/Elkern, Win32/Forous (InoculateIT), WinNT.Usem (Kaspersky), WinNT/Usem.A (GeCAD), WNT.Elkern.2372 (NAV)
亜種W32/Elkern.cav.b, W32/Elkern.cav.c, W32/Elkern.cav.d
情報掲載日01/10/29
発見日(米国日付)01/10/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/27Generic Down...
10/27RDN/PWS-Mmor...
10/27RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7605
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

2002年7月17日更新情報
Window 2000 上でのみ複製する新亜種 W32/Elkern.cav.d が発見されました。他の亜種と同じように、感染方法に ”スプリット・キャビティ” を使用し、すでに感染したファイルかどうかを確かめる為に、”WQ”マーカーを使用します。この亜種は、W32/Klez の新亜種とは関係ありません。

2002年5月28日更新情報
W95/Elkern.cav.c は、W32/Elkern.cav.cに名称を変更しました。 最初の亜種は、Windows NT/W2K/XPでは動作しなかったのですが、この亜種では動作するので変更しました。 定義ファイル4205から変更されています。
以前の亜種W32/Elkern.cav.a-bは変更されません。

2002年4月20日更新情報
最近新しい亜種 W32/Elkern.cav.c が発見されました。これは、新しいW32/Klezの亜種、W32/Klez.hによって落とし込まれます。W32/Elkern.cav.cの検出・駆除は定義ファイル4198以降に含まれています。現在の定義ファイルでヒューリスティックスキャンを使用した時、W32/NGVCK.aまたはNew Win32として検出することがあります。

2002年1月24日更新情報
新しい亜種 W32/Elkern.cav.b が発見されました。これは、新しいW32/Klezの亜種、W32/Klez.Eによって落とし込まれます。W32/Klez.EとW32/Elkern.cav.bの検出・駆除は定義ファイル4182以降に含まれています。

・W32/Klez@MMはW32/Elkern.cavを持っており、起動されると落とし込みます。

  • Win98/MEシステム上で起動されると、\WINDOWS\SYSTEM フォルダにWQK.EXE(隠しファイル属性が付けられます)という名前でコピーします。WQK.EXEのサイズや内容は、その時その時で異なります。さらにそのリソース(アイコンが保存されいている場所)へのポインタをワイプして、アイコンが表示されなくなるように、WQK.EXEを改変します。さらにレジストリキーにエントリを追加して、PC起動毎に、WQK.EXEが起動されるようにします。

    再起動の後、このウイルスは、ランダムなEXEファイルに感染します。この際、感染先ファイルの最終セクションを拡張するか、あるいは空白部分に入り込むかを行います。後者の場合は、感染先ファイルのサイズは変更されません。

  • WinNT/2000/XPシステム上で起動されると、SYSTEM32 ディレクトリにWQK.DLLに自身をコピーし、ウイルスを起動するレジストリキー値を作成します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs=Wqk.dll

・このウイルスは、ローカルネットワークを通して広がります。発病ルーチンも保有しており、オリジナルファイルサイズを維持する間、ゼロで上書きします。その結果、重要なファイルが上書きされ、感染後にOSが起動しなくなる可能性もあります。

・コンピュータにW32/Elkern.cav ウイルス感染の疑いがある場合、W32/Klez@MMの概要を読むことを強くお薦めします。


亜種情報

亜種名 種別 相違点
W32/Elkern.cav.b 直接型ファイル感染ウイルス 定義ファイル4182対応
W32/Elkern.cav.c 直接型ファイル感染ウイルス WQK.DLL ファイルを落とし込まないか、AppInit_DLLs レジストリキー値を作成しません。
検出・駆除に定義ファイル 4198 以降をご使用ください。
W32/Elkern.cav.d 直接型ファイル感染ウイルス WQK.DLL ファイルを落とし込まないか、AppInit_DLLs レジストリキー値を作成しません。
定義ファイル 4176 以降で W32/NGVCK.d の亜種として検出されます。
削除に定義ファイル 4212 以降をご使用ください。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・WQK.EXE または WQK.DLL が隠しファイルとして C:\WINDOWS or C:\WINDOWS\SYSTEM に存在する。

・32 bit PE (.EXE) ファイルが変わっている。

・Windowsを起動できない。

感染方法TOPへ戻る

駆除方法TOPへ戻る