ウイルス情報

ウイルス名 危険度

W32/Floodnet@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4200
対応定義ファイル
(現在必要とされるバージョン)
4354 (現在7656)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Delf.bd (AVP), Trojan/FldNet.A (Panda), W32.Tendoolf (Symantec), Win32/Cute.Worm (CA), WORM_TENDOOLF.A (Trend)
情報掲載日 02/05/09
発見日(米国日付) 02/05/01
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このウイルスは、Incidents.orgの最近のニュース レポートに掲載され、メディアの関心を集めたことを受け、危険度を 低 [*] に設定しました。
  • これは、リモート アクセス型トロイの木馬ウイルスです。起動すると、Microsoft Outlookを使用して、"All Users"というエイリアスにメッセージを送信しようとします。このアドレスがローカルまたはグローバルなアドレス帳に存在しない場合、または指定されたSMTPサーバのエイリアスではない場合、メッセージは送信されません。それ以外の場合、次のようなメッセージが送信されます。
    件名:Thoughts...
    本文:I just found this program, and, i dont know why...but it reminded me of you. check it out.
    添付ファイル:Cute.exe (228,352バイト)

  • 添付ファイルが実行されると、WINDOWSディレクトリにコピーが保存され、次の2つのレジストリ キーが作成されます。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\Windows=C:\WINDOWS\KERNEL32.EXE
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\Windows=C:\WINDOWS\KERNEL32.EXE
  • 次の2つのINIキーも作成されます。
    • SYSTEM.INI - [boot]\shell=explorer.exe C:\WINDOWS\KERNEL32.EXE
    • WIN.INI - [windows]\load=C:\WINDOWS\KERNEL32.EXE
  • このウイルスは、メモリ内で次のセキュリティ プログラム(ウイルス対策およびファイアウォール プログラムを含む)を探し、見つけると停止させます。
    • Anti-Trojan.exe
    • ANTS.EXE
    • APLICA32.EXE
    • AVCONSOL.EXE
    • AVP.EXE
    • AVP32.EXE
    • AVP32.EXE
    • AVPCC.EXE
    • AVPCC.EXE
    • AVPM.EXE
    • AVPM.EXE
    • blackd.exe
    • blackice.exe
    • CFIADMIN.EXE
    • CFIAUDIT.EXE
    • CFINET.EXE
    • CFINET32.EXE
    • cleaner.exe
    • cleaner3.exe
    • expl32.exe
    • FRW.EXE
    • iamapp.exe
    • iamserv.exe
    • ICLOAD95.EXE
    • ICLOADNT.EXE
    • ICMON.EXE
    • ICSUPP95.EXE
    • ICSUPPNT.EXE
    • IFACE.EXE
    • LIBUPDATE.EXE
    • lockdown2000.exe
    • minilog.exe
    • MooLive.exe
    • MPGSRV32.EXE
    • Mssmmc32.exe
    • NAVAPW32.EXE
    • NAVW32.EXE
    • nvarch16.exe
    • PCFWallIcon.EXE
    • RunDii.exe
    • RunDIl.exe
    • rundli.exe
    • SAFEWEB.EXE
    • Sphinx.exe
    • tca.exe
    • TDS2-.EXE
    • TDS2-.EXE
    • TEMP.EXE
    • VSECOMR.EXE
    • VSHWIN32.EXE
    • vsmon.exe
    • VSSTAT.EXE
    • WEBSCANX.EXE
    • WinDll.exe
    • WrAdmin.exe
    • WrCtrl.exe
    • zonealarm.exe
  • このイベントは、このウイルスのアクションを隠蔽する手助けとなります。
  • 拡張子.VXは、次のようにシステムに登録されます。
    • HKEY_CLASSES_ROOT\.vx\(Default)=exefile
    • HKEY_CLASSES_ROOT\.vx\Content Type=application/x-msdownload
    • HKEY_CLASSES_ROOT\.vx\NeverShowExt=
  • アタッカーは、次のようなコマンドを感染マシンに送信できます。
    • MSN MessengerおよびAOL Instant Messengerによるインスタント メッセージの送信
    • 電子メール送信
    • Floodコマンド(サービス拒否攻撃の開始)
    • さまざまなIRCコマンド (チャンネルへ入る/チャンネルから抜ける、 privmsgなど)
    • FTPコマンド(ファイルのアクセス、コピー、移動、削除)

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • %WinDir%\KERNEL32.EXE (228,352バイト)が存在する。
  • 次のような偽のエラー メッセージが表示されることがある。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る