ウイルス情報

ウイルス名 危険度

W32/Netlip

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4213
対応定義ファイル
(現在必要とされるバージョン)
4230 (現在7659)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Netlip.Worm (NAV)
Win32.Netlip (AVP)
WORM_NETLIP.A (Trend)
情報掲載日 02/08/21
発見日(米国日付) 02/07/03
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

このインターネット ウイルスは、感染ユーザが電子メール メッセージを送信する際に、他のユーザに自身を送信します。Windows フォルダを装うアイコンを使用し、ユーザに実行させようとします。デフォルト システムでは、登録されているファイルの拡張子を表示しない設定になっているため、このファイルは Windows フォルダとまったく同じように表示されます。

このウイルスは、実行されると、ローカル マシンに自身をコピーし、WSOCK32.DLL のパッチ バージョンを Windows フォルダに書き込みます。

次のようなメッセージがウイルスの実行時に表示されます。

グラフィック内の任意の場所をクリックすると、メッセージが閉じます。"Acerca de" ボタンをクリックすると、次のグラフィックが表示されます。

"Aceptar" ボタンをクリックすると、このダイアログが閉じます。その間、このウイルスは、ローカル システムを次のように改変しています。

  • 自身のコピーを c:\CONFIG._1_ としてパッケージ ファイル内に作成する
  • 自身のコピーを次の名前で Windows フォルダに作成する
    PUBLINET.EXE
    SICOM.EXE
  • 既存の WSOCK32.DLL を WSOCK32.OLD としてコピーする
  • パッチが当てられた新規の WSOCK32.DLL を Windows フォルダ内にコピーする
  • WININIT.INI を Windows フォルダ内に作成し、既存のクリーンな WSOCK32.DLL をパッチ バージョンで置き換える(WININIT は、Windows の起動時に、通常は使用中でロックされているファイルを置き換えるために使用されるファイル)
  • ホスト システムに自身をインストール済みであることを示す "マーカ" となるようにレジストリを改変する
    - HKEY_USERS\[current logged on user name]\SICOM\instalado="si"
    - HKEY_CURRENT_USER\SICOM\instalado="si"
  • Windows の起動時に自身のプログラムが読み込まれるようにレジストリを改変する
    - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\SICOM="C:\WINDOWS\SICOM.EXE"

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 感染システムに PUBLINet.exe ファイルが存在する。

TOPへ戻る

感染方法

  • このインターネット ウイルスは、感染ユーザが電子メールを送信する際に他のユーザに自身を送信する。これは、WSOCK32.DLL をパッチ バージョンで置き換えることで行われる(W32/Ska@M と同様)。

TOPへ戻る

駆除方法

このウイルスの検出と駆除には、上記の対応定義ファイルと対応エンジンを使用します。

Windows 95/98 システムの場合、EXPLORER.EXE や TASKMON.EXE などのファイルに対して駆除を行うために、MS-DOS モードで再起動し、コマンドライン スキャナ SCANPM を使用する必要があります。使用するには、次のように入力します。
"SCANPM.EXE C: /CLEAN /ALL"

WSOCK32.DLL ファイルは、バックアップから復元できます。復元手順は下記のとおりです。

Windows 98/ME の場合、下記の手順に従って、SFC を使用して WSOCK32.DLL を復元します。

Windows 98/ME

  • (Win98 のみ)
    "スタート" → "ファイル名を指定して実行" をクリックし、「SFC」 と入力して "OK" をクリックします。"Extract one file from the installation disk" を選択します。
  • (WinME のみ)
    "スタート" → "ファイル名を指定して実行" をクリックし、「MSCONFIG」 と入力して "OK" をクリックします。"EXTRACT FILE..." ボタンをクリックします。
  • (Win98/ME の両方)
    1. ボックス内に C:\WINDOWS\SYSTEM\WSOCK32.DLL と入力し、"Start" をクリックします。
    2. "Restore from" ボックス内に C:\WINDOWS\OPTIONS\CABS と入力するか、Windows CD-ROM で Win98 (またはWinME) ディレクトリを参照します。
    3. "OK" をクリックして以降のメッセージに従います。
    Wsock32.dll ファイルは、Windows CD-ROM の Precopy1.cab キャビネット ファイル内にあります。

Windows 95

  • WSOCK32.DLL は、次の CAB ファイル内にあります。

    Windows 95 CD-ROM の Win95_11.cab
    Windows 95 OSR2 CD-ROM の Win95_18.cab
    Windows 95 DMF ディスクの Win95_12.cab
    Windows 95 non-DMF ディスクの Win95_19.cab

    以下は、標準的な Windows 95 での例です。
    1. "スタート" → "Windowsの終了" をクリックし、"MS-DOSモードでコンピュータを再起動する" を選択します。
    2. EXTRACT /A C:\WINDOWS\OPTIONS\CABS\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM

      と入力するか、または Windows 95 CD-ROMを挿入し、次のように入力します。

      EXTRACT /A D:\WIN95\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM
      (D: は CD-ROM ドライブ)

Windows NT/2000

  1. Winnt\System32 フォルダ内の Wsock32.dll ファイルを Wsock32.old という名前に変更します。

    ファイル名の変更方法について詳しくは、"スタート" → "ヘルプ"、"キーワード" の順にクリックし、「ファイル名」 と入力し、"変更" をダブルクリックしてください。

  2. "スタート" → "プログラム" → "アクセサリ" → "コマンド プロンプト" をクリックします。
  3. cd\ と入力し、Enter キーを押します。
  4. Windows CD-ROM を CD-ROM ドライブに挿入し、スタートアップ画面を閉じます(表示された場合)。
  5. コマンド プロンプトで次の行を入力し、Enter キーを押します。

    expand <ドライブ>:\i386\wsock32.dl_ c:\\system32\wsock32.dll

  6. <ドライブ>には CD-ROM ドライブのドライブ名を、には Windows がインストールされているフォルダの名前を入れてください。
  7. 「exit」 と入力し、Enter キーを押して Windows に戻ります。

Windows ME での追加手順

注: Windows ME では、選択したファイルのバックアップを C:\_Restore フォルダ内に自動的に作成するバックアップ ユーティリティを採用しています。このため、感染ファイルもバックアップ ファイルとしてこのフォルダ内に格納されていて、VirusScan で削除できない可能性があります。下記の手順では、C:\_Restore フォルダから感染ファイルを削除する方法について説明します。

復元ユーティリティを無効にする方法

  1. デスクトップ上で "マイ コンピュータ" のアイコンを右クリックします。
  2. "パフォーマンス" タブをクリックします。
  3. "ファイル システム" ボタンをクリックします。
  4. "トラブルシューティング" タブをクリックします。
  5. "システムを復元しない" にチェックを入れます。
  6. "適用" ボタンをクリックします。
  7. "閉じる" ボタンをクリックします。
  8. "閉じる" ボタンをもう一度クリックします。
  9. コンピュータの再起動を促すメッセージが表示されます。"はい" をクリックします。
    注: この手順を終えると、復元ユーティリティは無効になっています。
  10. コンピュータをセーフ モードで再起動します。
  11. VirusScan でスキャンを実行し、感染ファイルをすべて削除します。または、C:\_Restore フォルダ内のファイルを参照し、削除します。
  12. 目的のファイルを削除したら、コンピュータを通常どおりに再起動します。
    注: 復元ユーティリティをもう一度有効にするには、手順 1〜9 に従います。ただし、手順 5 で "システムを復元しない" のチェックを外してください。感染ファイルが削除され、システムの復元機能が元どおり有効になります。

TOPへ戻る