ウイルス情報

ウイルス名 危険度

W32/Hamweq.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5754
対応定義ファイル
(現在必要とされるバージョン)
6152 (現在7628)
対応エンジン 5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky: Worm.Win32.AutoRun.akfu Microsoft: Worm:Win32/Hamweq.A Norman: W32/Hamweq.gen1
情報掲載日 2010/11/01
発見日(米国日付) 2009/09/27
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Hamweq.wormはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ファイル情報
  • MD5 : 62CE91B085EACFAA9A811B751EE6A70F
  • SHA : 6FF2FC134D7E2AFB8758C60F4A40AE968BCAB5FD

TOPへ戻る

ウイルスの特徴

----------- 2010年10月29日更新 --------------

・マカフィーが受け取ったサンプルファイルのbok.exeは、実行時、リムーバブルドライブを接続したシステムが自動実行に設定されている場合、W32/Hamweq.wormを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散します。

・実行時、以下の場所に自身をコピーします。

  • % SystemDrive%\\HAHAl\Raman\bok.exe (隠しファイル)
  • [リムーバブルドライブ]:\HAHAl\Raman\bok.exe (隠しファイル)

・また、以下のファイルをドロップ(作成)します。

  • %SystemDrive%\HAHAl\Raman\Desktop.ini (隠しファイル  : 悪質でないファイル)
  • [リムーバブルドライブ]:\autorun.inf

・以下のフォルダがシステムに追加されます。

  • % SystemDrive%\HAHAl
  • % SystemDrive%\HAHAl\Raman

・以下のレジストリキーがシステムに追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Visual Basic
  • HKEY_CURRENT_USER\Software\Microsoft\Visual Basic\6.0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-61WE-KKX2-4667QWE23218}

・以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-61WE-KKX2-4667QWE23218} "StubPath"="%SystemDrive%\\HAHAl\Raman\bok.exe"

・上記のレジストリ項目により、Windowsが起動されるたびに「Bok.exe」が実行されるようにします。

[%SystemDrive% = Windowsがインストールされているドライブ(ほとんどのコンピュータではC:がデフォルトになります)]

・UDPポート1030で感染マシンから以下のドメインへのトラフィックが発生する可能性があります。

  • Acc008.ho[削除]ip.net
  • Lol3.irc[削除]ils.net
  • accf0ur.does[削除]ist.org
-----------------------------------------------------

・リムーバブルドライブを接続したシステムが自動実行に設定されている場合、W32/Hamweq.wormを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散します。

・実行時、以下の場所に自身をコピーします。

  • % SystemDrive%\Recycle\X-5-4-(不定)\Bcuzz.exe (隠しファイル)
  • [リムーバブルドライブ]:\ Recycle\X-5-4-(不定)\Bcuzz.exe (隠しファイル)

・また、以下のファイルをドロップ(作成)します。

  • %SystemDrive%\Recycle\X-5-4-(不定)\Desktop.ini (隠しファイル - 悪質でないファイル)
  • [リムーバブルドライブ]:\autorun.inf

・以下のフォルダがシステムに追加されます。

  • % SystemDrive%\Recycle
  • % SystemDrive%\Recycle\X-5-4-(不定)
  • [リムーバブルドライブ]:\ Recycle
  • [リムーバブルドライブ]:\ Recycle\X-5-4-(不定)

・上記の「Recycle」フォルダは、W32/Hamweq.wormによって作成される隠しフォルダです。

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C987893}

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C987893}\]
StubPath="%SystemDrive%\Recycle\X-5-4-(不定)\Bcuzz.exe"

・上記のレジストリ項目により、Windowsが起動するたびに「Bcuzz.exe」が動作するようにします。

[%SystemDrive% = Windowsがインストールされているドライブ(ほとんどのコンピュータではC:がデフォルトになります)]

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルおよびレジストリキーが存在します。

TOPへ戻る

感染方法

・W32/Hamweq.wormはシステムに接続されているリムーバブルメディアに自身をコピーして拡散し、「autorun.inf」ファイルを作成して、デバイスが接続された別のシステムで自身を実行します。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る