■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。
・多くの共有ネットワークを介して繁殖するウイルスは脆弱なユーザネームやパスワードを利用します。"admin"や"administrator"などというユーザネームと、"admin"や"123456"などのパスワードを利用して辞書攻撃をかけ、administratorの権利を得ます。
・このような弱いユーザ名 / パスワードはローカルユーザーの資格を使う事が出来るようになります。これは、システムのsuper-administratorや、domain-adminがウイルスに感染すると、そのウイルスはこのシステムのすべての範囲に影響を与えることが出来るということを意味します。
・このようなワームは管理のされていない管理者共有を利用することが多いので、感染を防ぐためには、すべてのシステムの管理者共有(C$, IPC$, ADMIN$)を削除してしまうと良いでしょう。また、下記のコマンドが含まれたシンプルなバッチファイルをログオンスクリプトから実行したり、スタートアップフォルダに配置することも役に立つでしょう。
- net share c$ /delete
- net share d$ /delete
- net share e$ /delete
- net share ipc$ /delete
- net share admin$ /delete
共有ネットワーク繁殖をするウイルスには「有害の可能性のあるプログラム」として検出され、定義ファイルでは駆除できないものもあります。
VirusScan 4.xユーザの方で、これらのウイルスを検出したい場合は、以下の手順にしたがってください。
このプログラムをシステム上で駆除したい場合は、/PROGRAMと/CLEANスイッチを入れてコマンドラインスキャナーを起動してください。
- スタートボタンをクリックします。
- 「ファイル名を指定して実行(R)...」をクリックします。
- COMMANDと打ってENTERキーを押します。
- c:\progra~1\common~1\networ~1\viruss~1\4.0.xx\scan.exe c: /program /clean /sub
とタイプし、ENTERキーを押します。
VirusScan 7以降をお使いのお客様はコンフィギュレーションオプションの「不要と思われるプログラムを検出(D)」・「ジョークプログラムを検出(K)」をチェックすることでアプリケーションやジョークプログラムを検出することが出来ます。(下図ご参照ください。)
企業ユーザのお客様
VirusScan 7 Enterprise オンアクセススキャンにもこの機能は含まれています。
・下記に示したファイルは、必要がない場合は手動で削除してください。(スキャナーはこれらのファイルをトロイの木馬やウイルスとしては検出しません。アプリケーションとして検出されるものはあります。)
注意:
同じ名前を持ちながらも、ウイルスとは関係ないファイルがある可能性があります。どんなファイルであっても名前だけで判断し削除するには注意が必要です。更に、下記のファイル名は今後変わっていく可能性があります。
- A.LOG
- A.TMP
- B.TMP
- IPCPass.txt
- ntservice.exe
- NWIZ_.exe
- NWIZe.IN_
- pcMsg.dll
- PSEXEC.EXE
- rep.EXE
- space.txt
- tihuan.txt
- Edit the registry
・このウイルスによって作られたサービスを削除するためには、下記のレジストリキーを削除してください。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application
・administrators グループから admin ユーザアカウントを削除するか、リセットする必要があるかもしれません。
