ウイルス情報

ウイルス名 危険度

W32/Lehs@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4295
対応定義ファイル
(現在必要とされるバージョン)
4376 (現在7634)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.HLLW.Lehs@mm (NAV)
情報掲載日 03/09/24
発見日(米国日付) 03/09/21
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Lehs@MMはVisual Basicで作成され、Outlookのアドレス帳にある宛先に電子メールで自身を送信します。

総称による検出:W32/Lehs@MMは定義ファイル4252以降でW32/Generic.a@MMの亜種として検出されます。

電子メールによる繁殖

・Outlookを使用して以下のような送信メッセージが作成されます。

送信者: Microsoft Support
件名: DCOM RPC Vulnerability Patch
本文: Microsoft Corporation has issued a patch for the DCOM RPC vulnerability. The patch can be downloaded below named patch883653.exe

インストール

・ターゲットマシンで実行されると、一連のメッセージボックスが表示されます。

・以下のように、システムのStartupフォルダに自身をMicroCorp.exeとしてコピーします。

  • c:\WINDOWS\Start Menu\Programs\StartUp\MicroCorp.exe

・WIN.INIファイルを改変して、システムの起動をフックします。

[WinZip]
"run" = %SystemRoot%\Sysrestore\Notepad.exe

・SYSTEM.INIファイルを改変して、システムの起動をフックします。

[boot]
"run" = %SystemRoot%\Sysresore\Shell.exe

・AUTOEXEC.BATファイルを改変して、ウイルスを起動する命令を追加します。

Start %SystemRoot%\Sysrestore\Notepad.exe

・SYSRESTOREという名前のディレクトリがWindows SystemおよびSystem32ディレクトリ内に作成されます。複数のワームのコピーが紛らわしいファイル名で以下のディレクトリにコピーされます。

  • C:\windows\System\Sysrestore
  • C:\windows\System32\Sysrestore
  • C:\Windows\System\Sysrestore\Restoreshell.exe
  • C:\Windows\system32\Sysrestore\Shell.exe
  • C:\Windows\system32\Sysrestore\MSIinstall.exe
  • C:\Windows\system32\Sysrestore\WINcom.exe
  • C:\Windows\system32\Sysrestore\KERNEL32.exe
  • C:\Windows\system32\Sysrestore\Notepad.exe
  • C:\Windows\system32\Sysrestore\Kern16.exe
  • C:\Windows\system32\Sysrestore\Win-16_BIT.exe
  • C:\Windows\System\Sysrestore\MSIshell.exe
  • C:\Windows\System\Sysrestore\WIN_16-Bit.exe
  • C:\Windows\System\Sysrestore\Kernel32.exe
  • C:\Windows\System\Sysrestore\KERNEL32.dll
  • C:\Windows\System\Sysrestore\Notepad.exe
  • C:\Windows\System\Sysrestore\MSIinstall.exe
  • C:\Windows\System\Sysrestore\Windows.exe
  • C:\Windows\System\Sysrestore\reInstall.exe
  • C:\Windows\System\Sysrestore\MicroPackage.exe
  • C:\Windows\System\Sysrestore\Dage.exe
  • C:\Windows\System\Sysrestore\Gadeth.exe
  • C:\Windows\System\Sysrestore\Ndad.exe
  • C:\Windows\System\Sysrestore\Patch.exe
  • C:\Windows\System\Sysrestore\Patchda82653.exe
  • C:\Windows\System\Sysrestore\Patch8ba82653.exe
  • C:\Windows\System\Sysrestore\Patch882he653.exe
  • C:\Windows\System\Sysrestore\Patch882ad653.exe
  • C:\Windows\System\Sysrestore\Patch88a2653.exe
  • C:\Windows\System\Sysrestore\Patch88gadh2653.exe
  • C:\Windows\System\Sysrestore\Patch8826ad53.exe
  • C:\Windows\System\Sysrestore\Patch882hae653.exe
  • C:\Windows\System\Sysrestore\Patch8822d653.exe
  • C:\Windows\System\Sysrestore\Patch8a82653.exe
  • C:\Windows\System\Sysrestore\Patch8agd82653.exe
  • C:\Windows\System\Sysrestore\Patch8da82653.exe
  • C:\Windows\System\Sysrestore\Patch88ba2653.exe
  • C:\Windows\System\Sysrestore\Patch88asdf2653.exe
  • C:\Windows\System\Sysrestore\Patch88abad2653.exe
  • C:\Windows\System\Sysrestore\Patch882da653.exe
  • C:\Windows\System\Sysrestore\Patch88ads2653.exe
  • C:\Windows\System\Sysrestore\Patch8826da53.exe
  • C:\Windows\System\Sysrestore\Patch88265ba3.exe
  • C:\Windows\System\Sysrestore\Patch8826a53das.exe
  • C:\Windows\System\Sysrestore\Patch8826fasd53ds.exe
  • C:\Windows\System\Sysrestore\Patch882abd653.exe
  • C:\Windows\System\Sysrestore\Patch8826nda53.exe
  • C:\Windows\System\Sysrestore\Patch88wa2653.exe
  • C:\Windows\System\Sysrestore\Patch88265bad3.exe
  • C:\Windows\System\Sysrestore\Patch88265bna3.exe
  • C:\Windows\System\Sysrestore\Patch88265ad3.exe
  • C:\Windows\System\Sysrestore\Patch88265adsf3.exe
  • C:\Windows\System\Sysrestore\Patch88sd2653.exe
  • C:\Windows\System\Sysrestore\Patch882ban653.exe
  • C:\Windows\System\Sysrestore\Patch8826adwe53.exe
  • C:\Windows\System\Sysrestore\MTK.exe
  • C:\Windows\System\Sysrestore\Splinter.exe
  • C:\Windows\System\Sysrestore\{927982-2356-0042-25}HKEY.exe
  • C:\Windows\System\Sysrestore\Bin.exe
以下の空のディレクトリもターゲットマシンに作成されます。
  • C:\blak
  • C:\prune
  • C:\ad
  • C:\ablak
  • C:\bhblak
  • C:\blaadk
  • C:\blaadadk
  • C:\blaeak
  • C:\bla dsak
  • C:\blabadwtk
  • C:\blwety32ak
  • C:\b234lak
  • C:\bl523ak
  • C:\blaahr34k
  • C:\bl34haak
  • C:\bl346ak
  • C:\blnaak
  • C:\bl32hadak
  • C:\bl2ak
  • C:\blay23k
  • C:\blhah3ak
  • C:\bln33425ak
  • C:\bwetlak
  • C:\blasdak
  • C:\basdlak
  • C:\blhaak
  • C:\blahadewk
  • C:\blahsak
  • C:\bnclaks
  • C:\blacvnk
  • C:\blnaedak
  • C:\blwerak
  • C:\blaweeaak

DoS(サービス拒否)バッチスクリプト

・バッチスクリプトがWindowsディレクトリ(C:\Windowsにハードコード化される)に落とし込まれます。

c:\WINDOWS\MSDOS_3.Bat

・このスクリプトは、PING.EXEを使用して以下のターゲットにサービス拒否攻撃を開始するように設計された反復コマンドを含んでいます。

  • www.norton.com
  • http://securityreseponse.symantec.com

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルおよびディレクトリが存在します。

・上記の送信メッセージが存在します。

TOPへ戻る

感染方法

・W32/Lehs@MMは、Microsoft社のセキュリティパッチを装って、Microsoft Outlookを介して繁殖します。

・サービス拒否を目的とするバッチスクリプトが落とし込まれます。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る