製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lehs@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4295
対応定義ファイル
(現在必要とされるバージョン)
4376 (現在7401)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.HLLW.Lehs@mm (NAV)
情報掲載日03/09/24
発見日(米国日付)03/09/21
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Lehs@MMはVisual Basicで作成され、Outlookのアドレス帳にある宛先に電子メールで自身を送信します。

総称による検出:W32/Lehs@MMは定義ファイル4252以降でW32/Generic.a@MMの亜種として検出されます。

電子メールによる繁殖

・Outlookを使用して以下のような送信メッセージが作成されます。

送信者: Microsoft Support
件名: DCOM RPC Vulnerability Patch
本文: Microsoft Corporation has issued a patch for the DCOM RPC vulnerability. The patch can be downloaded below named patch883653.exe

インストール

・ターゲットマシンで実行されると、一連のメッセージボックスが表示されます。

・以下のように、システムのStartupフォルダに自身をMicroCorp.exeとしてコピーします。

  • c:\WINDOWS\Start Menu\Programs\StartUp\MicroCorp.exe

・WIN.INIファイルを改変して、システムの起動をフックします。

[WinZip]
"run" = %SystemRoot%\Sysrestore\Notepad.exe

・SYSTEM.INIファイルを改変して、システムの起動をフックします。

[boot]
"run" = %SystemRoot%\Sysresore\Shell.exe

・AUTOEXEC.BATファイルを改変して、ウイルスを起動する命令を追加します。

Start %SystemRoot%\Sysrestore\Notepad.exe

・SYSRESTOREという名前のディレクトリがWindows SystemおよびSystem32ディレクトリ内に作成されます。複数のワームのコピーが紛らわしいファイル名で以下のディレクトリにコピーされます。

  • C:\windows\System\Sysrestore
  • C:\windows\System32\Sysrestore
  • C:\Windows\System\Sysrestore\Restoreshell.exe
  • C:\Windows\system32\Sysrestore\Shell.exe
  • C:\Windows\system32\Sysrestore\MSIinstall.exe
  • C:\Windows\system32\Sysrestore\WINcom.exe
  • C:\Windows\system32\Sysrestore\KERNEL32.exe
  • C:\Windows\system32\Sysrestore\Notepad.exe
  • C:\Windows\system32\Sysrestore\Kern16.exe
  • C:\Windows\system32\Sysrestore\Win-16_BIT.exe
  • C:\Windows\System\Sysrestore\MSIshell.exe
  • C:\Windows\System\Sysrestore\WIN_16-Bit.exe
  • C:\Windows\System\Sysrestore\Kernel32.exe
  • C:\Windows\System\Sysrestore\KERNEL32.dll
  • C:\Windows\System\Sysrestore\Notepad.exe
  • C:\Windows\System\Sysrestore\MSIinstall.exe
  • C:\Windows\System\Sysrestore\Windows.exe
  • C:\Windows\System\Sysrestore\reInstall.exe
  • C:\Windows\System\Sysrestore\MicroPackage.exe
  • C:\Windows\System\Sysrestore\Dage.exe
  • C:\Windows\System\Sysrestore\Gadeth.exe
  • C:\Windows\System\Sysrestore\Ndad.exe
  • C:\Windows\System\Sysrestore\Patch.exe
  • C:\Windows\System\Sysrestore\Patchda82653.exe
  • C:\Windows\System\Sysrestore\Patch8ba82653.exe
  • C:\Windows\System\Sysrestore\Patch882he653.exe
  • C:\Windows\System\Sysrestore\Patch882ad653.exe
  • C:\Windows\System\Sysrestore\Patch88a2653.exe
  • C:\Windows\System\Sysrestore\Patch88gadh2653.exe
  • C:\Windows\System\Sysrestore\Patch8826ad53.exe
  • C:\Windows\System\Sysrestore\Patch882hae653.exe
  • C:\Windows\System\Sysrestore\Patch8822d653.exe
  • C:\Windows\System\Sysrestore\Patch8a82653.exe
  • C:\Windows\System\Sysrestore\Patch8agd82653.exe
  • C:\Windows\System\Sysrestore\Patch8da82653.exe
  • C:\Windows\System\Sysrestore\Patch88ba2653.exe
  • C:\Windows\System\Sysrestore\Patch88asdf2653.exe
  • C:\Windows\System\Sysrestore\Patch88abad2653.exe
  • C:\Windows\System\Sysrestore\Patch882da653.exe
  • C:\Windows\System\Sysrestore\Patch88ads2653.exe
  • C:\Windows\System\Sysrestore\Patch8826da53.exe
  • C:\Windows\System\Sysrestore\Patch88265ba3.exe
  • C:\Windows\System\Sysrestore\Patch8826a53das.exe
  • C:\Windows\System\Sysrestore\Patch8826fasd53ds.exe
  • C:\Windows\System\Sysrestore\Patch882abd653.exe
  • C:\Windows\System\Sysrestore\Patch8826nda53.exe
  • C:\Windows\System\Sysrestore\Patch88wa2653.exe
  • C:\Windows\System\Sysrestore\Patch88265bad3.exe
  • C:\Windows\System\Sysrestore\Patch88265bna3.exe
  • C:\Windows\System\Sysrestore\Patch88265ad3.exe
  • C:\Windows\System\Sysrestore\Patch88265adsf3.exe
  • C:\Windows\System\Sysrestore\Patch88sd2653.exe
  • C:\Windows\System\Sysrestore\Patch882ban653.exe
  • C:\Windows\System\Sysrestore\Patch8826adwe53.exe
  • C:\Windows\System\Sysrestore\MTK.exe
  • C:\Windows\System\Sysrestore\Splinter.exe
  • C:\Windows\System\Sysrestore\{927982-2356-0042-25}HKEY.exe
  • C:\Windows\System\Sysrestore\Bin.exe
以下の空のディレクトリもターゲットマシンに作成されます。
  • C:\blak
  • C:\prune
  • C:\ad
  • C:\ablak
  • C:\bhblak
  • C:\blaadk
  • C:\blaadadk
  • C:\blaeak
  • C:\bla dsak
  • C:\blabadwtk
  • C:\blwety32ak
  • C:\b234lak
  • C:\bl523ak
  • C:\blaahr34k
  • C:\bl34haak
  • C:\bl346ak
  • C:\blnaak
  • C:\bl32hadak
  • C:\bl2ak
  • C:\blay23k
  • C:\blhah3ak
  • C:\bln33425ak
  • C:\bwetlak
  • C:\blasdak
  • C:\basdlak
  • C:\blhaak
  • C:\blahadewk
  • C:\blahsak
  • C:\bnclaks
  • C:\blacvnk
  • C:\blnaedak
  • C:\blwerak
  • C:\blaweeaak

DoS(サービス拒否)バッチスクリプト

・バッチスクリプトがWindowsディレクトリ(C:\Windowsにハードコード化される)に落とし込まれます。

c:\WINDOWS\MSDOS_3.Bat

・このスクリプトは、PING.EXEを使用して以下のターゲットにサービス拒否攻撃を開始するように設計された反復コマンドを含んでいます。

  • www.norton.com
  • http://securityreseponse.symantec.com

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルおよびディレクトリが存在します。

・上記の送信メッセージが存在します。

感染方法TOPへ戻る
・W32/Lehs@MMは、Microsoft社のセキュリティパッチを装って、Microsoft Outlookを介して繁殖します。

・サービス拒否を目的とするバッチスクリプトが落とし込まれます。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足