ウイルス情報

ウイルス名 危険度

W32/Leave.worm

企業ユーザ:
個人ユーザ:
種別 インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4145 (現在7661)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 01/06/28
発見日(米国日付) 01/06/22
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • AVERTは、実際の現場からこのウイルスのサンプルを確認していませんが、確かな筋からの情報に基づき、このウイルスを危険度「中」と評定しました。

  • このウイルスには、既知のコンポーネントが3つあります。それらのコンポーネントは、BIN.DLL(22528バイト)、REGISTRY.DLL(54272バイト)、EXE(76800バイト)で、それぞれ異なる名前が付いています。これらのコンポーネントはすべて、UPX圧縮プログラムで圧縮されています。

  • EXEファイルが実行されると、このウイルスは自身をc:\WINDOWS\regsv.exeにコピーして、c:\WINDOWS\acI3.dllというファイルを作成します。このファイルには、暗号化されていると思われるデータが含まれています(ここでは、c:\WINDOWS\と書きましたが、Windowsプログラムがインストールされているディレクトリに応じて、このディレクトリは変わることがあります)。

  • 次のレジストリ キーと値が作成されます。

    HKU\.Default\Software\Mirabilis\ICQ\Agent\Apps\icqrun="C:\WINDOWS\regsv.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run\regsv="C:\WINDOWS\regsv.exe"

  • 次のレジストリ キーも作成されます(レジストリ キーには、いくつかのサブキーが含まれています。それらのサブキーは、さらに暗号化されたデータになっているようです)。

    HKLM\SOFTWARE\Classes\Scandisk\i386\i\

    HKLM\SOFTWARE\Classes\Scandisk\i386\s\

  • EXEファイルには、このウイルスが他のコンピュータに感染するときに使用するSubsevenへのマスタ パスワードが含まれています。

  • また、EXEファイルには、タイム サーバとIRCサーバにアクセスして、Webからファイルをダウンロードするためのコードも含まれています。

  • Registry.dllには、メーリング ルーチンが含まれています。

  • Daily DATファイル(ベータ版)で、このウイルスの検出と駆除を行うことができます。上記のように、2001年6月27日に掲載された4145 Weekly DATでも、検出と駆除が可能です。

  • システム上でREGSV.EXEファイルを発見した場合は、AVERT WebImmuneに届け出て、分析を依頼してください。是認された場合は、extra.datファイルを受け取ってください。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

TOPへ戻る