ウイルス情報

ウイルス名 危険度

W32/Hamweq.worm.h

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
6169
対応定義ファイル
(現在必要とされるバージョン)
6238 (現在7628)
対応エンジン 5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Microsoft - Worm:Win32/Hamweq.A Symantec - W32.IRCBot Kaspersky - Trojan.Win32.AutoRun.j comodo - TrojWare.Win32.TrojanSpy.Pophot.b
情報掲載日 2011/02/22
発見日(米国日付) 2010/11/16
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Hamweq.worm.hはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ファイル情報:
  • MD5 : 6793E87E272A38A0D856E6E69EC8FB5D
  • SHA : 0C1A867734E3F1BC10275553A214365F78233584

TOPへ戻る

ウイルスの特徴

・「W32/Hamweq.worm.h」は破壊的なペイロードが組み込まれているワームですが、ワームは通常、システムからシステムに拡散する以外には何も行いません。

・実行時、以下の場所に自身をコピーします。

  • %SystemDrive%\OGa\RD\GOx.exe

・以下のフォルダが作成されます。

  • %SystemDrive%\OGa\RD

・以下のレジストリキーが作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-01WE-AAX2-314CCA554372}

・以下のレジストリ値が作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-01WE-AAX2-314CCA554372}\
StubPath = "%SystemDrive%\\OGa\RD\GOx.exe"

・上記のレジストリにより、Windowsが起動するたびにW32/Hamweq.worm.hが実行されるようにします。

[注: %SystemDrive% - C:\]

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリキーが存在します。
  • 上記の活動が見られます。

TOPへ戻る

感染方法

・ウイルスは自己複製します。多くの場合、ネットワーク、またはリムーバブルディスク、書き込み可能なCD、USBドライブなどのリムーバブルメディアへの送信によって拡散されます。また、ネットワークファイルシステム、他のコンピュータと共有されているファイルシステムのファイルに感染して、拡散する可能性があります。

TOPへ戻る

駆除方法

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。

TOPへ戻る