製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:K
ウイルス情報
ウイルス名危険度
W32/Kilonce.b.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4222
対応定義ファイル
(現在必要とされるバージョン)
4222 (現在7507)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.HLLW.Kilonce (NAV), Win32/KillOnce.Worm (CAI), Worm.Win32.Kilonce (AVP)
情報掲載日02/09/06
発見日(米国日付)02/08/27
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/21Generic.tfr!...
07/21RDN/Generic ...
07/21Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7507
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
  • このウイルスは Delphi で作成されたもので、UPX で圧縮されています。
  • このウイルスは共有ネットワークを介して自身をリモート システムにコピーし、繁殖しようとします。
  • この情報掲載の時点では、AVERT はこのウイルスの一般からのサンプルをまだ受け取っていません。顧客からの問い合わせがあっただけです。
  • 実行されると、このウイルスは自身を以下の名前でコピーします。
    • %WinDir%\KILLONCE.EXE
    • C:\Recycled\KILLONCE.EXE (only observed on 9x)
  • このウイルスが次回も実行されるように、以下のレジストリ キーが設定されます。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"KillOnce" = %WinDir%\KILLONCE.EXE
    • HKEY_CLASSES_ROOT\exefile\shell\open\command"(Default)" = %WinDir%\KILLONCE.EXE "%1" %*
    • HKEY_CLASSES_ROOT\txtfile\shell\open\command"(Default)" = C:\Recycled\KILLONCE.EXE C:\WINNT\NotePad.exe %1
  • このウイルスは、ビルトイン 'Guest' アカウントを Administrators グループに追加します。
  • 共有ネットワークを列挙し、開いている共有ネットワークが存在した場合、以下の操作を行います。
    • リモート マシンの REGEDIT.EXE のファイル名を REGEDIT.EXE.SYS に変更して、隠しファイル属性を設定し、自身を REGEDIT.EXE としてそのディレクトリにコピーします。
    • リモート マシンの Windows ディレクトリで RUNDLL32.EXE ファイルを検索します。このファイルが見つかると、ファイル名を RUN32.EXE に変更し、そのディレクトリに自身を RUN32DLL.EXE としてコピーします。(Windows XP Pro のリモート マシンでは、RUNDLL32.EXE は WINDOWS\SYSTEM32 に存在するため、この操作は行われません。)
    • DOC および HTM ファイルを検索します。ファイルが見つかると、ウイルスはそのディレクトリに(HTM ファイルの場合は)SHDOCVW.DLL として、(DOC ファイルの場合は)RICHED20.DLL として自身をコピーします。注:テスト時には、
      1. 自身をRUNDLL32.EXEとしてコピーすることに成功した場合には、この操作は行われませんでした。(上記を参照)
      2. ディレクトリに複数の HTM/DOC ファイルが存在している場合には、ウイルスはそのディレクトリで自身を1回しかコピーしませんでした。
    • ウイルス内のコードから、このウイルスが共有ネットワークで EML および NWS ファイルも検索することが考えられます。テストでは、リモート マシンにあった EML ファイルは削除され、NWS ファイルはそのまま残されました。 (他の情報では、このウイルスは、EML/NWS ファイルが見つかった場合に base-64 でエンコードされた自身のコピーをコピーすることが記載されています。ウイルス内のコードはこの操作を示唆していますが、この操作は見られませんでした。)

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • REGEDIT.EXE のファイル名が(DLLCACHE ディレクトリまたは適切な場所において)REGEDIT.EXE.SYS に変更されている。
  • SHDOCVW.DLL または RICHED20.DLL という名前のファイル(サイズ:39,310 bytes)が多数存在する。
  • 上記のレジストリ フックおよび KILLONCE.EXE ファイルが存在する。
  • リモート感染したマシンで 'Windows File Protection' ダイアログ ボックスが表示される。

感染方法TOPへ戻る

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足