製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:H
ウイルス情報
ウイルス名危険度
W32/Hamweq.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5754
対応定義ファイル
(現在必要とされるバージョン)
6152 (現在7508)
対応エンジン5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky: Worm.Win32.AutoRun.akfu Microsoft: Worm:Win32/Hamweq.A Norman: W32/Hamweq.gen1
情報掲載日2010/11/01
発見日(米国日付)2009/09/27
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/22RDN/Generic....
07/22RDN/Generic....
07/22Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7508
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Hamweq.wormはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ファイル情報
  • MD5 : 62CE91B085EACFAA9A811B751EE6A70F
  • SHA : 6FF2FC134D7E2AFB8758C60F4A40AE968BCAB5FD

ウイルスの特徴TOPに戻る
----------- 2010年10月29日更新 --------------

・マカフィーが受け取ったサンプルファイルのbok.exeは、実行時、リムーバブルドライブを接続したシステムが自動実行に設定されている場合、W32/Hamweq.wormを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散します。

・実行時、以下の場所に自身をコピーします。

  • % SystemDrive%\\HAHAl\Raman\bok.exe (隠しファイル)
  • [リムーバブルドライブ]:\HAHAl\Raman\bok.exe (隠しファイル)

・また、以下のファイルをドロップ(作成)します。

  • %SystemDrive%\HAHAl\Raman\Desktop.ini (隠しファイル  : 悪質でないファイル)
  • [リムーバブルドライブ]:\autorun.inf

・以下のフォルダがシステムに追加されます。

  • % SystemDrive%\HAHAl
  • % SystemDrive%\HAHAl\Raman

・以下のレジストリキーがシステムに追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Visual Basic
  • HKEY_CURRENT_USER\Software\Microsoft\Visual Basic\6.0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-61WE-KKX2-4667QWE23218}

・以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-61WE-KKX2-4667QWE23218} "StubPath"="%SystemDrive%\\HAHAl\Raman\bok.exe"

・上記のレジストリ項目により、Windowsが起動されるたびに「Bok.exe」が実行されるようにします。

[%SystemDrive% = Windowsがインストールされているドライブ(ほとんどのコンピュータではC:がデフォルトになります)]

・UDPポート1030で感染マシンから以下のドメインへのトラフィックが発生する可能性があります。

  • Acc008.ho[削除]ip.net
  • Lol3.irc[削除]ils.net
  • accf0ur.does[削除]ist.org
-----------------------------------------------------

・リムーバブルドライブを接続したシステムが自動実行に設定されている場合、W32/Hamweq.wormを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散します。

・実行時、以下の場所に自身をコピーします。

  • % SystemDrive%\Recycle\X-5-4-(不定)\Bcuzz.exe (隠しファイル)
  • [リムーバブルドライブ]:\ Recycle\X-5-4-(不定)\Bcuzz.exe (隠しファイル)

・また、以下のファイルをドロップ(作成)します。

  • %SystemDrive%\Recycle\X-5-4-(不定)\Desktop.ini (隠しファイル - 悪質でないファイル)
  • [リムーバブルドライブ]:\autorun.inf

・以下のフォルダがシステムに追加されます。

  • % SystemDrive%\Recycle
  • % SystemDrive%\Recycle\X-5-4-(不定)
  • [リムーバブルドライブ]:\ Recycle
  • [リムーバブルドライブ]:\ Recycle\X-5-4-(不定)

・上記の「Recycle」フォルダは、W32/Hamweq.wormによって作成される隠しフォルダです。

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C987893}

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C987893}\]
StubPath="%SystemDrive%\Recycle\X-5-4-(不定)\Bcuzz.exe"

・上記のレジストリ項目により、Windowsが起動するたびに「Bcuzz.exe」が動作するようにします。

[%SystemDrive% = Windowsがインストールされているドライブ(ほとんどのコンピュータではC:がデフォルトになります)]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリキーが存在します。

感染方法TOPへ戻る

・W32/Hamweq.wormはシステムに接続されているリムーバブルメディアに自身をコピーして拡散し、「autorun.inf」ファイルを作成して、デバイスが接続された別のシステムで自身を実行します。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足