McAfee for Small Businesses

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

・Lockmeの構成要素は簡単に再設定できるので、このトロイの木馬には複数のバージョンが存在すると考えられます。AVERTでは、以下のファイルで構成されるバージョンの報告を受けました。 1.bat “com3\com1\-lockme-”へのパスを作成。このロケーションにファイルをコピー kkhxf.bat さまざまなセキュリティソフトウェアの終了。Pwdumpアプリケーションの実行。VNCアプリケーションとNetCatアプリケーションのインストール（ポート63666を聴取） step2.bat FTPで“C:\WINNT\SYSTEM32\WBEM\MOF\BAD\USR32”に、このリストに記載されたファイルを複数ダウンロード。ファイルの作成/改変回数を隠し、システムを再起動 NTROOTKIT.exe BackDoor-ASWをご覧ください。 hidden32.exe HideWindow applicationをご覧ください。 pskill.exe PSKill applicationをご覧ください。 svchost.exe ServU Daemon applicationをご覧ください。 c メータヘッダファイルのスループット clearlogs.exe ClearLogsアプリケーション。Windows NTシステムのログファイルを消去 info.exe System Informationアプリケーション。コンピュータ名、ユーザ名、OSのバージョンなどを表示 lof システム情報レポートの設定 lon システム情報レポートの設定 mkd.exe Make Directoryアプリケーション msconfig.dll ServU Daemon applicationの設定ファイル nc.exe NetCatアプリケーション（TCP/UDPポートツール） omnithread_rt.dll Virtual Network Computingアプリケーションのコンポーネント peek.exe PUListアプリケーション rpc.exe サービスユーティリティアプリケーション rpc.reg サービスを作成するレジストリスクリプト touch.exe ファイルのアクセス/改変回数を更新するアプリケーション VNCHooks.dll Virtual Network Computingアプリケーションのコンポーネント vnsystask.exe Virtual Network Computingアプリケーション（リモートアクセスプログラム） WinKick.exe WinKickアプリケーション（システムを再起動） xcacls.exe ACL Application （アクセス制御リストの表示や改変） \pwdump3e\ Pwdumpアプリケーションを含むディレクトリ

感染方法	TOPへ戻る
・Lockmeの配布方法はスパムメールなどによるものではなく、特定されていません。トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

駆除方法	TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足