製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
W32/Fleming.worm
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4228
対応定義ファイル
(現在必要とされるバージョン)
4228 (現在7548)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.HLLW.Henpeck (Symantec), Win32.HLLM.Fleming.53248 (Dialogue Science), WORM_RODOK.A (Trend)
情報掲載日02/10/10
発見日(米国日付)02/10/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/31PWS-Mmorpg.g...
08/31Generic.tfr!...
08/31PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7548
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

2002年10月15日更新情報
メディアの注目がある為、危険度を "低 [要注意]" に変更しました。

  • このウイルスは、MSN Messenger を介してリモート サーバ上の自身のコピーの URL リンクを含むメッセージを送信して繁殖します。
  • このウイルスは、バックドア型トロイの木馬である追加の実行ファイルもダウンロードしようとします。
  • このバックドア型トロイの木馬は、定義ファイル 4227 以降を使用すると、BackDoor-OG として検出されます。それ以前の定義ファイルを使用した場合では、(定義ファイル 4214 以降の、ヒューリスティック スキャンを有効にしたプログラムで)圧縮ファイルをヒューリスティック方式で 'New BackDoor5' として検出します。あるいは、(定義ファイル 4135 以降では)ファイルを解凍して、正しく 'BackDoor-OG' として検出します。
  • ターゲット マシンで実行されると、このウイルスはキー作成者を装って以下のウインドウを表示します。

  • その後、MSN Messenger を介してウイルスへの URL リンクを含む以下のメッセージを送信します。

    Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does!
    http://(removed).net/downl0ad/BR2002.exe ← There you can download it! give me advices on what to upgrade please!!

  • このウイルスは、以下のファイルをダウンロードして、自身をアップデートすることができます。

    http://(removed).net/downl0ad/Update.exe.

バックドア コンポーネント

  • このウイルスは、以下のファイルからバックドア型トロイの木馬もダウンロードしようとします。

    http://(removed).net/downl0ad/CS-Keygen.exe

  • このファイルは C:\hehe2397824.exe として保存されます。このリモート アクセス型トロイの木馬には多数の亜種が存在します。概要に関してはここをクリックしてください。この亜種の詳細は次のとおりです。

    C:\hehe2397824.exeが実行されると、

    • この亜種は自身を以下のファイルにコピーします。

      c:\WINDOWS\WinUpdat.exeupdate.ur.address(6688バイト)

    • 起動をフックするために、次のレジストリ キーを追加します。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"WinUpdat" = C:\WINDOWS\WinUpdat.exeupdate.ur.address
    • 一度実行されると、バックドア サーバは特定のチャネルに参加するために、リモートIRCサーバのポート6669に接続しようとします。一度接続されると、ハッカーはサーバにコマンドを送信することが可能になります。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のようなMSNメッセージが発信される。
  • 上記のウィンドウが表示される。
  • 以下のバックドア型トロイの木馬のファイル(6,688バイト)が存在する。
    • C:\hehe2397824.exe
    • c:\WINDOWS\WinUpdat.exeupdate.ur.address

感染方法TOPへ戻る
  • このウイルスは、MSN Messenger を介して自身のリモート コピーの URL リンクを含むメッセージを送信して繁殖する。
  • このウイルスは、バックドア型トロイの木馬のダウンロードも行う。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足