製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:O
ウイルス情報
ウイルス名危険度
W32/Opaserv.worm.m
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4239
対応定義ファイル
(現在必要とされるバージョン)
4786 (現在7605)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
亜種TROJ_WINKILL.A (Trend)
Trojan.Win32.KillWin (AVP)
W32/Opaserv.L (Panda)
Win32.Opaserv.I (CA)
情報掲載日02/12/24
発見日(米国日付)02/12/20
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/27Generic Down...
10/27RDN/PWS-Mmor...
10/27RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7605
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

2002年12月24日更新情報
メディアの注目がある為、危険度を "低 [要注意]" に変更しました。

  • このウイルスにはバグがあるため、多くの WindowsNT/2K/XP システムでは自己繁殖できません。
  • このウイルスは、リモートでアクセス可能なシステムの Windows ディレクトリに自身を'MQBKUP.EXE'としてコピーし、起動時にワームをロードするためのWin.ini 起動キーを作成することで、ネットワークを介して繁殖しようとします。

ローカル感染

  • ターゲット マシンで実行されると、ワームは自身を%WinDir%\mqbkup.exeとして自身をコピーします。2度実行されるのを避けるために、ワームはミューテックス’mkbkup61616’を作成します(既に存在する場合は、プロセス終了)。以下のレジストリキーはシステムのスタートアップをフックするためにセットします。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "mqbkup" = %WinDir%\mqbkup.exe

リモート感染

  • このウイルスは NetBIOS トラフィック(UDP)が大量に発生します。このウイルスの活動の初期の徴候のひとつは、ポート 137 でファイアウォールのヒットが増加したことでした。このトラフィックは、連続した IP 範囲を超えて WINS 照会を発信するウイルスにより、引き起こされます。
  • テスト時に見られた繁殖の方法は、主に以下のようなものです。
    • WINS 照会を発信します(NetBIOS 名を得るため)。
    • 次に、リモート マシンへの NetBIOS セッションを設定しようとします。
    • 設定に成功すると、SMB コマンドを使用して(リモート マシンで開いている 'C' 共有ネットワークを要求して)\\%machinename%\C へ接続し、繁殖しようとします。セキュリティ パッチがインストールされていないと、パスワードで保護された共有ネットワークも感染します。

      ※注:セキュリティ パッチをインストールしても、共有をパスワードで保護しなければ感染してしまいます。

    • 繁殖時に自身をリモート マシンの \Windows\mqbkup.exe にコピーしようとします。
    • 起動時にウイルスが実行されるように、例えば以下のような実行キーをリモート マシンの WIN.INI に追加します。

      Run= 'C:\WINDOWS\MQBKUP.EXE'

  • このウイルスは、ローカル サブネット上のすべてのマシンに上記の方法で繁殖しようとします(各 WINS 照会の IP アドレスの最後のオクテットを増加しながら、サブネット中で繁殖しようとします)。
  • 次に、テスト時には、IP 範囲が A.B.(C+1).0 から A.B.(C+1).255 のマシンに上記の方法を行うことが見られました(A.B.C.x はローカル サブネット)。
  • その後、ランダムに開始される IP アドレスから、連続して上記の方法が繰り返されました(例えば、16.13.145.5 から 16.13.145.255)。最後のオクテットが 255 まで増加すると、新しく開始される最初の IP が照会されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 下記のいずれかが存在する。
    • %WinDir%\MQBKUP.EXE
    • %WinDir%\MSBIND.DLL
    • %WinDir%\MSCAT32.DLL
    • C:\WIN.INI (PCがリモート感染している場合)
  • 下記のどちらかのレジストリキーが存在する。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "mqbkup" = %WinDir%\mqbkup.exe
    • WIN.INI ファイルに新しい場所を作成する。
    • [msappfont]
      value=%value%
      font=%value%
      style=%value%
    • 感染マシンから、相当な量のポート137のトラフィックが発生する。

感染方法TOPへ戻る
  • このウイルスは、ネットワーク共有を介して繁殖する。
  • 攻撃方法

    ワームは、トロイの木馬:C:\MSLICENF.COM (DAT4280で QZap248 として検出される)を落とし込みます。このトロイの木馬は、ハードディスク内のコンテンツを削除し、AUTOEXEC.BAT 内のこのファイルを参照します。さらに、BOOT.EXE (DAT4240でReboot-V として検出される)をドロップ(作成)することによって、PCをリセットし、ファイルを実行します。PCを再起動後、.COMファイルが実行され、以下のメッセージが表示されます。

  • NOTICE:

    Illegal Microsoft Windows license detected!
    You are in violation of the Digital Millennium Copyright Act!

    Your unauthorized license has been revoked.

    For more information, please call us at:

    1-888-NOPIRACY

    If you are outside the USA, please look up the correct contact
    information on our website, at:

    www.bsa.org



    Business Software Alliance
    Promoting a safe & legal online world.

駆除方法TOPへ戻る
  • W32/Opaserv.worm (似たようなネットワーク共有感染ウイルス)に再度感染しない為に、Microsoft からの 「共有レベルのアクセス制限パスワード」の脆弱性に対する対策 (MS00-072) パッチをインストールして下さい。下記のOSに関係します。
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows ME
  • Win9x/ME ユーザーの方は、TCP/IP プロトコルからファイルとプリンタの共有サービスを選択しないようにすることをお勧めします。
    1. Windows 9x/ME のデスクトップ上のネットワークコンピュータを右クリックし、プロパティを選択します。
    2. TCP/IP プロトコルのネットワークアダプタを選択します。(例:TCP/IP → 3Com Ethernet Adapter)
    3. プロパティ ボタンを押します。
    4. バインディング タブを選択します。
    5. "ファイルとプリンタの共有" にチェックがあれば、チェックを取ります。
    6. "OK" を2度クリックして、再起動します。
  • このウイルスは、リモートシステムに自身をコピーした後、リモートシステムの WIN.INI ファイルを改変します。そのため、ウイルススキャンは WIN.INI の変更が発生する前にウイルスを検出し、取り除きます。ウィンドウズ起動時に「SCRSVR.EXE(または別のファイル名)が見つかりません」というエラーメッセージが表示された場合、以下の手順に従って修復して下さい。
    • 「スタート」 → 「ファイル名を指定して実行」 をクリック。
    • 「WIN.INI」と入力し、ENTER を押す。
    • RUN= 行に移動し、= 以降に書かれているファイル名(ie. C:\WINDOWS\SYSTEM\SCRSVR.EXE)を削除。
    • 「ファイル」 → 「閉じる」をクリックし、変更を保存する有無の表示が出た場合は「はい」を選択。