ウイルス情報

ウイルス名 危険度

W32/Kilonce.b.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4222
対応定義ファイル
(現在必要とされるバージョン)
4222 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.HLLW.Kilonce (NAV), Win32/KillOnce.Worm (CAI), Worm.Win32.Kilonce (AVP)
情報掲載日 02/09/06
発見日(米国日付) 02/08/27
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このウイルスは Delphi で作成されたもので、UPX で圧縮されています。
  • このウイルスは共有ネットワークを介して自身をリモート システムにコピーし、繁殖しようとします。
  • この情報掲載の時点では、AVERT はこのウイルスの一般からのサンプルをまだ受け取っていません。顧客からの問い合わせがあっただけです。
  • 実行されると、このウイルスは自身を以下の名前でコピーします。
    • %WinDir%\KILLONCE.EXE
    • C:\Recycled\KILLONCE.EXE (only observed on 9x)
  • このウイルスが次回も実行されるように、以下のレジストリ キーが設定されます。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"KillOnce" = %WinDir%\KILLONCE.EXE
    • HKEY_CLASSES_ROOT\exefile\shell\open\command"(Default)" = %WinDir%\KILLONCE.EXE "%1" %*
    • HKEY_CLASSES_ROOT\txtfile\shell\open\command"(Default)" = C:\Recycled\KILLONCE.EXE C:\WINNT\NotePad.exe %1
  • このウイルスは、ビルトイン 'Guest' アカウントを Administrators グループに追加します。
  • 共有ネットワークを列挙し、開いている共有ネットワークが存在した場合、以下の操作を行います。
    • リモート マシンの REGEDIT.EXE のファイル名を REGEDIT.EXE.SYS に変更して、隠しファイル属性を設定し、自身を REGEDIT.EXE としてそのディレクトリにコピーします。
    • リモート マシンの Windows ディレクトリで RUNDLL32.EXE ファイルを検索します。このファイルが見つかると、ファイル名を RUN32.EXE に変更し、そのディレクトリに自身を RUN32DLL.EXE としてコピーします。(Windows XP Pro のリモート マシンでは、RUNDLL32.EXE は WINDOWS\SYSTEM32 に存在するため、この操作は行われません。)
    • DOC および HTM ファイルを検索します。ファイルが見つかると、ウイルスはそのディレクトリに(HTM ファイルの場合は)SHDOCVW.DLL として、(DOC ファイルの場合は)RICHED20.DLL として自身をコピーします。注:テスト時には、
      1. 自身をRUNDLL32.EXEとしてコピーすることに成功した場合には、この操作は行われませんでした。(上記を参照)
      2. ディレクトリに複数の HTM/DOC ファイルが存在している場合には、ウイルスはそのディレクトリで自身を1回しかコピーしませんでした。
    • ウイルス内のコードから、このウイルスが共有ネットワークで EML および NWS ファイルも検索することが考えられます。テストでは、リモート マシンにあった EML ファイルは削除され、NWS ファイルはそのまま残されました。 (他の情報では、このウイルスは、EML/NWS ファイルが見つかった場合に base-64 でエンコードされた自身のコピーをコピーすることが記載されています。ウイルス内のコードはこの操作を示唆していますが、この操作は見られませんでした。)

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • REGEDIT.EXE のファイル名が(DLLCACHE ディレクトリまたは適切な場所において)REGEDIT.EXE.SYS に変更されている。
  • SHDOCVW.DLL または RICHED20.DLL という名前のファイル(サイズ:39,310 bytes)が多数存在する。
  • 上記のレジストリ フックおよび KILLONCE.EXE ファイルが存在する。
  • リモート感染したマシンで 'Windows File Protection' ダイアログ ボックスが表示される。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る