製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:H
ウイルス情報
ウイルス名危険度
W32/Habrack.worm!p2p
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4283 (現在7576)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.HLLW.Habrack (NAV):W32/Habrack.bat:W32/Habrack.vbs
情報掲載日03/08/18
発見日(米国日付)03/08/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/28RDN/Generic ...
09/28RDN/PWS-Bank...
09/28RDN/Spybot.b...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7576
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Habrack.worm!p2pは、ファイル共有ネットワークを介して繁殖します。実行ファイルは、定義ファイル4283以降でW32/Generic.worm!p2pとして検出されます。

・W32/Generic.worm!p2pが実行されると、以下の偽の警告メッセージを表示します。

・“OK”がクリックされると別のメッセージボックスを表示し、Hotmail/MSN/.Net Passport Accountのユーザ名とパスワードを入力するように要求します。

・上記のボックスにテキストが入力されると、c:\Password.Txtという名前のテキストファイルにローカル保存されます。

・“Continue”がクリックされると、最終メッセージボックスが表示されます。

・以下のフォルダを作成します。

  • c:\Program Files\Panda AntiVirus Trial\
  • c:\Program Files\Panda AntiVirus Trial\Core files
  • c:\Windows\System32\Norton\
  • c:\Windows\System32\Norton\Defenitions\
  • c:\Windows\System32\Norton\Defenitions\File\
  • c:\Windows\System32\Norton\Defenitions\File\Break

・上記のフォルダに、以下のファイル名で自身をコピーします。

  • c:\Program Files\Panda AntiVirus Trial\Core files\Panda.exe
  • c:\WINDOWS\SYSTEM32\Norton\Defenitions\File\Break\WinSys.Dll
  • c:\WINDOWS\SYSTEM32\Norton\Defenitions\File\Break\WinSys.exe

・以下のロケーションにも自身をコピーします。

  • c:\WINDOWS\Rundlls.exe
  • c:\WINDOWS\WinSys.Dll
  • c:\WINDOWS\WinSys.exe
  • c:\My Shared Folder\Msn6Plus.exe
  • c:\My Shared Folder\Norton AntiVirus 2003 + Crack.exe
  • c:\My Shared Folder\MicrosoftR Visual Basic 7.exe
  • c:\My Shared Folder\Norton Ghost KeyGen.exe
  • c:\My Shared Folder\Linux Mandrake.Zip
  • c:\My Shared Folder\Msn 8 Cracked.exe
  • c:\My Shared Folder\Microsoft R Windows Xp + Gen.exe

・以下のファイルが存在してアクセス可能な場合は、既存のファイルを上書きして自身をコピーします。上書きされたファイルは、バックアップからリストアする必要があります。

  • c:\Program Files\Norton AntiVirus\Navw32.exe
  • c:\Program Files\MSN Messenger\msnmsgr.exe
  • c:\Windows\Wscript.exe
  • c:\Windows\Rundll.exe
  • c:\Windows\Rundll32.exe
  • c:\Windows\Regedit.exe
  • c:\Windows\System\Underwater.scr
  • c:\Program Files\Yahoo!\Messenger\Ypager.exe

・以下のファイルが存在してアクセス可能な場合は、ファイルの末尾に文字を追加します。

  • c:\Program Files\Norton AntiVirus\Qconsole.exe(8,640バイトを追加)
  • c:\Program Files\Norton AntiVirus\Ccimscan.exe(4,320バイトを追加)

・以下のファイルが存在する場合は、削除します。

  • c:\Program Files\Yahoo!\Messenger\res_msgr.dll
  • c:\Program Files\MSN Messenger\msgslang.dll

・C:\Windows\ディレクトリとC:\WinntディレクトリのすべてのDLLファイルと、C:\Windows\Desktop\ディレクトリのすべてのINKファイルを削除します。ただしAVERTのテストでは、削除しませんでした。

・ワームの作成者のWebサイトにアクセスして、mircvir.jpgという名前のHTMLファイルをダウンロードします。このファイルは、Visual Basicスクリプトを含んでおり、mIRC用のScript.iniファイルを作成します。ただしAVERTのテストでは、このスクリプトは機能しませんでした。

・以下のファイルも作成します。

  • c:\hello.bat(無限ループを設定)
  • c:\Home.Vbs(Internet Explorerのホームページを変更)
  • c:\Me.Html(ブラウザをクラッシュさせる)
  • c:\WINDOWS\Wscript.bat(C:ドライブのネットワーク共有を設定し、システム時刻を変更)

・W32/Habrack.worm!p2pはオートスタートキーに自身を追加しないので、再起動するだけでメモリから消去されます。しかし、ドロッパやインストーラコンポーネントがワームをインストールして、Windowsの起動時にワームを実行します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のメッセージボックスが表示されます。

・上記のファイルが存在します。

・“Finished - Wscript”という名前の、最小化されたDOSウインドウが存在します。

感染方法TOPへ戻る

・W32/Habrack.worm!p2pは、ピアツーピアファイル共有ユーザに自身をダウンロードさせ、実行させて繁殖します。このワームが実行されると、他のユーザがダウンロードしそうな共有フォルダに自身をコピーします。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足