ウイルス情報

ウイルス名 危険度

Lockme

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4277
対応定義ファイル
(現在必要とされるバージョン)
4277 (現在7634)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/07/15
発見日(米国日付) 03/07/14
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・Lockmeはトロイの木馬のパッケージで、さまざまなバッチファイル、コマンドラインユーティリティ、アプリケーション、およびWindows NTシステム向けルートキットで構成されます。リモート攻撃者は、さまざまな方法で感染システムを完全に制御できます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・Lockmeの構成要素は簡単に再設定できるので、このトロイの木馬には複数のバージョンが存在すると考えられます。AVERTでは、以下のファイルで構成されるバージョンの報告を受けました。

1.bat “com3\com1\-lockme-”へのパスを作成。このロケーションにファイルをコピー
kkhxf.bat さまざまなセキュリティソフトウェアの終了。Pwdumpアプリケーションの実行。VNCアプリケーションとNetCatアプリケーションのインストール(ポート63666を聴取)
step2.bat FTPで“C:\WINNT\SYSTEM32\WBEM\MOF\BAD\USR32”に、このリストに記載されたファイルを複数ダウンロード。ファイルの作成/改変回数を隠し、システムを再起動
NTROOTKIT.exe BackDoor-ASWをご覧ください。
hidden32.exe HideWindow applicationをご覧ください。
pskill.exe PSKill applicationをご覧ください。
svchost.exe ServU Daemon applicationをご覧ください。
c メータヘッダファイルのスループット
clearlogs.exe ClearLogsアプリケーション。Windows NTシステムのログファイルを消去
info.exe System Informationアプリケーション。コンピュータ名、ユーザ名、OSのバージョンなどを表示
lof システム情報レポートの設定
lon システム情報レポートの設定
mkd.exe Make Directoryアプリケーション
msconfig.dll ServU Daemon applicationの設定ファイル
nc.exe NetCatアプリケーション(TCP/UDPポートツール)
omnithread_rt.dll Virtual Network Computingアプリケーションのコンポーネント
peek.exe PUListアプリケーション
rpc.exe サービスユーティリティアプリケーション
rpc.reg サービスを作成するレジストリスクリプト
touch.exe ファイルのアクセス/改変回数を更新するアプリケーション
VNCHooks.dll Virtual Network Computingアプリケーションのコンポーネント
vnsystask.exe Virtual Network Computingアプリケーション(リモートアクセスプログラム)
WinKick.exe WinKickアプリケーション(システムを再起動)
xcacls.exe ACL Application (アクセス制御リストの表示や改変)
\pwdump3e\ Pwdumpアプリケーションを含むディレクトリ

TOPへ戻る

感染方法

・Lockmeの配布方法はスパムメールなどによるものではなく、特定されていません。トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る