製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:V
ウイルス情報
ウイルス名危険度
W32/VBMania@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
6101
対応定義ファイル
(現在必要とされるバージョン)
6104 (現在7401)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky : Email-Worm.Win32.VBMania.a Microsoft: Worm:Win32/Visal.B Avira: Worm/Swisyn.algm
情報掲載日2010/10/27
発見日(米国日付)2010/09/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

-- 2010年10月14日更新 --

・危険度を[低]に変更しました。

--

・W32/VBMania@MMはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

--- 2010年10月26日更新 ---

ファイル情報:

  • MD5 : 2BDE56D8FB2DF4438192FB46CD0CC9C9
  • SHA : 0BA8387FAAF158379712F453A16596D2D1C9CFDC

ウイルスの特徴TOPに戻る

--- 2010年10月26日更新 ---

・「W32/VBMania@MM」は、リムーバブルドライブ、ネットワーク共有、または電子メールを介して拡散する、VBで作成されたワームです。拡張子が.exeのPDFアイコンで届きます。また、リモートポート80を使って、「memb[削除]ltimania.co.uk」から悪質なファイルをダウンロードします。

・以下の場所に自身をコピーします。

  • %WINDIR%\system\Administrator CV 2010.exe
  • %WINDIR%\system\updates.exe
  • %WINDIR%\Administrator CV 2010.exe
  • %WINDIR%\csrss.exe
  • %SYSTEMDRIVE%\Administrator CV 2010.exe
  • %SYSTEMDRIVE%\open.exe
  • %Removable Drive%\ open.exe

・以下のファイルがシステムに追加されます。

  • %WINDIR%\system32\wbem\Logs\FrameWork.lo_
  • %SYSTEMDRIVE%\SendEmail.dll
  • %WINDIR%\autorun.inf
  • %WINDIR%\autorun2.inf
  • %WINDIR%\ff.exe
  • %WINDIR%\gc.exe
  • %WINDIR%\hst.iq
  • %WINDIR%\ie.exe
  • %WINDIR%\im.exe
  • %WINDIR%\op.exe
  • %WINDIR%\pspv.exe
  • %WINDIR%\rd.exe
  • %WINDIR%\re.exe
  • %WINDIR%\re.iq
  • %WINDIR%\tryme1.exe
  • %WINDIR%\vb.vbs
  • %SYSTEMDRIVE%\autorun.inf
  • %Removable Drive%\autorun.inf

・「autorun.inf」ファイルはW32/VBMania@MMの実行ファイルを指しています。リムーバブルドライブまたはネットワークドライブがAutorun機能をサポートしているマシンからアクセスされると、W32/VBMania@MMが自動的に起動されます。

・システムの以下のファイルが改変されます。

%WINDIR%\system32\drivers\etc\hosts

・システムの以下のレジストリ値が改変されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: "Explorer.exe %WINDIR%\csrss.exe"

・上記のレジストリにより、システムが起動するたびにW32/VBMania@MMが実行されるようにします。

・以下のレジストリ値がシステムに追加されます。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Shares\updates
'CSCFlags = 0
MaxUses = 100
Path = %WINDIR%\system
Permissions = 0
Remark = Public share for update.
Type = 0'

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<プロセス名><プロセス名>\ Debugger="%WINDIR%\csrss.exe"

・「プロセス名」の一例は以下のとおりです。

  • 00hoeav.com
  • 0w.com
  • 360rpt.ExE
  • 360safe.ExE
  • 360safebox.ExE
  • 360tray.ExE
  • 6.bat
  • 6fnlpetp.exe
  • 6x8be16.cmd
  • a2cmd.ExE
  • a2free.ExE
  • a2service.ExE
  • a2upd.ExE
  • abk.bat
  • adobe Gamma Loader.exe
  • algsrvs.exe
  • algssl.exe
  • angry.bat
  • anti-trojan.exe
  • aNtIaRP.ExE
  • antihost.exe
  • aNtS.ExE
  • apu-0607g.xml
  • apu.stt
  • aPVxdWIN.ExE
  • arSwp.ExE
  • ashdisp.exe
  • ashEnhcd.exe
  • ashLogV.exe
  • ashMaiSv.exe
  • ashPopWz.exe
  • ashQuick.exe
  • ashServ.exe
  • ashSkPcc.exe
  • ashUpd.exe
  • ashWebSv.exe
  • ast.ExE
  • aswBoot.exe
  • aswRegSvr.exe
  • aswUpdSv.exe
  • autorun.bin
  • autoRun.ExE
  • autorun.ini
  • autorun.reg
  • autorun.txt
  • autorun.wsh
  • autoRunKiller.ExE
  • autoruns.exe
  • autorunsc.exe
  • avadmin.exe
  • avastSS.exe
  • avcenter.exe
  • avciman.exe
  • avconfig.exe
  • aVCONSOL.ExE
  • aVENGINE.ExE
  • avgamsvr.exe
  • avgas.exe
  • avgcc.exe
  • avgcc32.exe
  • avgemc.exe
  • avginet.exe
  • avgnt.exe
  • avgrssvc.exe
  • avgrsx.exe
  • avgscan.exe
  • avgscanx.exe
  • avgserv.exe
  • avguard.exe
  • avgupsvc.exe
  • avgw.exe
  • avgwdsvc.exe
  • avltd.exe
  • avmailc.exe
  • avMonitor.ExE
  • avnotify.exe
  • avp.com
  • avp.exe
  • aVP32.ExE
  • aVPCC.ExE
  • aVPM.ExE
  • avscan.exe
  • avzkrnl.dll
  • bad1.exe
  • bad2.exe
  • bad3.exe
  • bdagent.exe
  • bdsubwiz.exe
  • BdSurvey.exe
  • BIOSREad.exe
  • blackd.exe
  • blackice.exe
  • caiss.exe
  • caissdt.exe
  • catcache.dat
  • cauninst.exe
  • Cavapp.ExE
  • cavasm.ExE
  • CavaUd.ExE
  • CaVCmd.exe
  • CaVCtx.exe
  • CavEmSrv.ExE
  • Cavmr.ExE
  • CavMUd.ExE
  • Cavoar.ExE
  • CavQ.ExE
  • CaVRep.exe
  • CaVRid.exe
  • CaVSCons.ExE
  • cavse.ExE
  • CavSn.ExE
  • CavSub.ExE
  • CaVSubmit.ExE
  • CavUMaS.ExE
  • CavUserUpd.ExE
  • Cavvl.ExE
  • CCenter.ExE
  • CEmRep.ExE
  • ckahcomm.dll
  • ckahrule.dll
  • ckahum.dll
  • cleaner.exe
  • cleaner3.exe
  • clldr.dll
  • CMain.ExE
  • copy.exe
  • curidsbase.kdz
  • destrukto.vbs
  • dF5Serv.exe
  • diffs.dll
  • drvins32.exe
  • drwadins.exe
  • drweb32w.exe
  • drweb386.exe
  • drwebscd.exe
  • drwebupw.exe
  • drwebwcl.exe
  • drwreg.exe
  • e.cmd
  • e9ehn1m8.com
  • edb.chk
  • egui.exe
  • ekrn.exe
  • EMdISK.exe
  • f0.cmd
  • FileKan.exe
  • flashy.exe
  • FPaVServer.exe
  • FProttray.exe
  • fpscan.exe
  • fptrayproc.exe
  • FPWin.exe
  • FrameworkService.exe
  • Frameworkservice.ExE
  • FRW.ExE
  • FrzState2k.exe
  • fs6519.dll.vbs
  • fssf.exe
  • fssync.dll
  • fun.xls.exe
  • g2pfnid.com
  • GetSI.dll
  • GFUpd.ExE
  • guard.exe
  • GuardField.ExE
  • guardgui.exe
  • guardxkickoff.exe
  • guardxkickoff_x64.exe
  • guardxservice.exe
  • guardxup.exe
  • h3.bat
  • Hijackthis.ExE
  • hookinst.exe
  • host.exe
  • i.bat
  • iamapp.exe
  • iamserv.exe
  • IceSword.ExE
  • ICLOad95.ExE
  • ICLOadNt.ExE
  • ICMON.ExE
  • ICSUPP95.ExE
  • ICSUPPNt.ExE
  • Identity.exe
  • iefqwp.cmd
  • IEShow.exe
  • IFaCE.ExE
  • ij.bat
  • InstallCaVS.ExE
  • InstLsp.ExE
  • Iparmor.ExE
  • iSafe.exe
  • iSafInst.exe
  • KaSaRP.ExE
  • kav.bav
  • kav32.ExE
  • kavbase.kdl
  • KaVPFW.ExE
  • kavstart.ExE
  • ker.vbs
  • KeyMgr.exe
  • killVBS.vbs
  • kissvc.ExE
  • kl1.sys
  • klavemu.kdl
  • klbg.cat
  • klbg.sys
  • klif.cat
  • klif.sys
  • klim5.sys
  • kmailmon.ExE
  • KPfwSvc.ExE
  • KRegEx.ExE
  • KVSrvxP.ExE
  • KVWSC.ExE
  • kwatch.ExE
  • licmgr.ex
  • licreg.exe
  • lky.exe
  • lockdown2000.exe
  • m2nl.bat
  • mbam.exe
  • mcagent.exe
  • mcappins.exe
  • mcaupdate.exe
  • mcdash.exe
  • Mcdetect.exe
  • mcinfo.exe
  • mcinsupd.exe
  • mcmnhdlr.exe
  • mcregwiz.exe
  • McShield.exe
  • Mctray.exe
  • mcupdmgr.exe
  • mcupdui.exe
  • McVSEscn.exe
  • mcvsftsn.exe
  • mcvsmap.exe
  • mghtml.exe
  • Mmsk.ExE
  • MooLive.exe
  • msdos.pif
  • msfir80.exe
  • MSGrc32.vbs
  • msime80.exe
  • msizap.exe
  • msmsgs.exe
  • msvcm80.dll
  • msvcp80.dll
  • msvcr71.dll
  • msvcr80.dll
  • mzvkbd.dll
  • mzvkbd3.dll
  • naiavfin.exe
  • naPrdMgr.exe
  • Navapsvc.ExE
  • NaVaPW32.ExE
  • NaVW32.ExE
  • netcfg.dll
  • new folder.exe
  • njibyekk.com
  • nod32.exe
  • nod32krn.exe
  • nod32kui.exe
  • oasclnt.exe
  • olb1iimw.bat
  • OnaccessInstaller.ExE
  • Pagent.exe
  • Pagentwd.exe
  • PavFnSvr.exe
  • pavprsrv.exe
  • PavReport.exe
  • pavsched.exe
  • PaVSRV51.ExE
  • pavtest.exe
  • pctsauxs.exe
  • pctsSvc.exe
  • pctstray.exe
  • PFW.ExE
  • preupd.exe
  • prloader.dll
  • procexp.exe
  • psctrlc.exe
  • PsCtrlS.exe
  • PSHost.exe
  • PsImSvc.exe
  • pskmssvc.exe
  • QQdoctor.ExE
  • QtnMaint.exe
  • RaV.ExE
  • ravmon.exe
  • Ravservice.ExE
  • RavStub.ExE
  • RaVtRaY.ExE
  • rcukd.cmd
  • reload.exe
  • rescue32.exe
  • rescuecd.zip
  • rfwmain.ExE
  • rfwProxy.ExE
  • rfwsrv.ExE
  • Rfwstub.ExE
  • rose.exe
  • RStray.ExE
  • Runiep.ExE
  • safeboxtray.ExE
  • sal.xls.exe
  • sched.exe
  • SCVHOSt.exe
  • scvhosts.exe
  • SCVHSOt.exe
  • SCVVHOSt.exe
  • scvvhosts.exe
  • SCVVHSOt.exe
  • seccenter.exe
  • SendLogs.exe
  • session.exe
  • shstat.exe
  • Socksa.ex
  • SOLOCFG.exe
  • SOLOLItE.exe
  • SOLOSCaN.exe
  • SOLOSENt.exe
  • Sphinx.exe
  • spidercpl.exe
  • spiderml.exe
  • spidernt.exe
  • spiderui.exe
  • spml_set.exe
  • Spybotsd.exe
  • SREngLdr.ExE
  • ssvichosst.exe
  • sxs.exe
  • system.exe
  • tca.exe
  • temp.exe
  • temp2.exe
  • toy.exe
  • tPSrv.exe
  • trojandetector.ExE
  • trojanwall.ExE
  • trojdie.KxP
  • UdaterUI.exe
  • uiscan.exe
  • unp_test.ExE
  • update.exe
  • updater.dll
  • UPSdbMaker.ExE
  • userdump.exe
  • UUpd.ExE
  • v.exe
  • Vba32act.exe
  • Vba32arkit.exe
  • Vba32ECM.exe
  • Vba32ifs.exe
  • vba32ldr.exe
  • Vba32PP3.exe
  • Vba32Qtn.exe
  • vbcmserv.exe
  • vbcons.exe
  • vbglobal.exe
  • vbimport.exe
  • vbinst.exe
  • vbscan.exe
  • vbsystry.exe
  • VetMsg.exe
  • virusutilities.exe
  • Visthaux.exe
  • VPC32.ExE
  • VPtRaY.ExE
  • VSECOMR.ExE
  • VSHWIN32.ExE
  • vsmon.exe
  • vsserv.exe
  • VSStat.ExE
  • VstskMgr.exe
  • WEBPROxY.ExE
  • WEBSCaNx.ExE
  • whi.com
  • WinGrc32.dll
  • WOPtILItIES.ExE
  • Wradmin.exe
  • WrCtrl.exe
  • wscntfy.exe
  • wsctool.exe
  • yannh.cmd
  • ybj8df.exe
  • zonealarm.exe
  • _aVP32.ExE
  • _aVPCC.ExE
  • _aVPM.ExE

・このように、上記のファイルが開かれるたびにW32/VBMania@MMが実行されます。

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]
    EnableLUA="0"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]
    PromptOnSecureDesktop="0"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]
    EnableVirtualization="0"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\12.0\Outlook\Security\]
    ObjectModelGuard="2"

・上記のレジストリにより、WindowsおよびOutlookのセキュリティ設定を無効にします。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\]
    EnableFirewall="0"

・上記のレジストリにより、感染したマシンのデフォルトのWindowsファイアウォールを無効にします。

ネットワーク共有を介した繁殖:

・W32/VBMania@MMは以下の場所に.vbsファイル(VBScriptファイル)をドロップします。

%WINDIR%\vb.vbs

・作成されたVBScriptファイルは「N73.Image12.03.2009.JPG.scr」という名前の悪質なファイルをネットワーク共有に拡散します。ホストシステムに接続されているすべてのドライブを検索し、アクセス可能なネットワーク内のシステムを見つけると、C:、D:、E:、F:、G:、H:ドライブを探し出し、上記のファイルをコピーします。

・また、「N73.Image12.03.2009.JPG.scr」ファイルを以下の共有フォルダにコピーしようとします。

  • Music
  • New Folder
  • Print

電子メールを介した繁殖:

・ローカルシステムから電子メールアドレスを収集し、自身のコピーをユーザのOutlookのアドレス帳にあるすべてのアドレスリストに送信します。

・メールの件名および本文は以下のようになります。

例1:

件名:

Here you have

本文:

Hello:

This is The Document I told you about,you can find it Here.

http://www.share[削除].com/library/PDF_Document21.025542010.pdf

Please check it and reply as soon as possible.

Cheers,

例2:

件名:

Just for you

本文:

Hello: This is The Free Dowload Sex Movies,you can find it Here.

http://www.share[削除]om/library/SEX21.025542010.wmv

Enjoy Your Time. Cheers,

・上記のリンク先では、W32/VBMania@MMのコピーをダウンロードするよう指示されます。

・また、以下のサービスを終了します。

  • Avast! Antivirus
  • aswUpdSv
  • avast! Mail Scanner
  • avast! Web Scanner
  • AntiVirService
  • AntiVirMailGuard
  • AntiVirSchedulerService
  • McShield
  • AntiVirFirewallService
  • NIS
  • MSK80Service
  • 0053591272669638mcinstcleanup
  • mfefire
  • McNASvc
  • Mc0obeSv
  • McMPFSvc
  • McProxy
  • Mc0DS
  • mcmscsvc
  • McAfee SiteAdvisor Service
  • mfevtp
  • Avgfws9
  • AVG Security Toolbar Service
  • avg9wd
  • AVGIDSAgent
  • PAVFNSVR
  • Gwmsrv
  • PSHost
  • PSIMSVC
  • PAVSRV
  • PavPrSrv
  • PskSvcRetail
  • Panda Software Controller
  • TPSrv
  • SfCtlCom
  • prlo
  • TmProxy
  • TMBMServer
  • Arrakis3
  • LIVESRV
  • scan
  • VSSERV
  • sdAuxService
  • sdCoreService
  • AVP

[%Windir%はWindowsフォルダ。例:c:\windows]

--------------------------

・W32/VBMania@MMは「Here you have」という件名を持つ大量送信されたスパムで確認されています。

・実行時、以下のファイルがドロップ(作成)されます。

  • %WINDIR%\system\Administrator CV 2010.exe
  • %WINDIR%\system\updates.exe
  • %WINDIR%\Administrator CV 2010.exe
  • %WINDIR%\autorun.inf
  • %WINDIR%\autorun2.inf
  • %WINDIR%\csrss.exe
  • %WINDIR%\vb.vbs
  • %DIR%\Administrator CV 2010.exe
  • %WINDIR%\tryme1.exe
  • %WINDIR%\im.exe
  • %WINDIR%\csrss.exe
  • %WINDIR%\vb.vbs
  • %TEMP%\~DF1DC7.tmp
  • %WINDIR%\ie.exe
  • %WINDIR%\rd.exe
  • %WINDIR%\re.exe
  • %WINDIR%\system\updates.exe
  • %WINDIR%\SYSTEM32\SendEmail.dll
  • %WINDIR%\gc.exe
  • %WINDIR%\hst.iq
  • %WINDIR%\ff.exe
  • %WINDIR%\op.exe
  • %WINDIR%\pspv.exe
  • %WINDIR%\re.iq
  • %WINDIR%\ff.dlm
  • %APPDATA%\addons.dat
%WINDIR% = \WINDOWS (Windows 9x/ME/XP/Vista/7), \WINNT (Windows NT/2000)

・以下のファイルが一時的に作成され、その後削除されます。

  • %WINDIR%\ff.iq
  • %WINDIR%\ie.iq
  • %WINDIR%\SendEmail.iq
  • %WINDIR%\w.iq
  • %WINDIR%\m.iq
  • %WINDIR%\gc.iq
  • %WINDIR%\SYSTEM32\drivers\etc\hosts
  • %WINDIR%\pspv.iq
  • %WINDIR%\w.exe
  • %WINDIR%\tryme.iq
  • %WINDIR%\im.iq
  • %WINDIR%\rd.iq
  • %TEMP%\~DFAFA.tmp
  • %WINDIR%\m.exe
  • %WINDIR%\SendEmail.dll
  • %WINDIR%\b.bat
  • %WINDIR%\op.iq

・以下のファイルが書き換えられます。

  • %WINDIR%\SYSTEM32\wbem\logs\wbemprox.log

・W32/VBMania@MM は、特定の実行ファイルをランダムに消去したり、現在のホストファイルを書き換えることが知られています。

・システムツールが動作しないよう、以下のレジストリの変更が行われます。ここに挙げられているのは、変更の一部です。

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\00hoeav.com
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0w.com
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.ExE
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.ExE
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.ExE
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.ExE
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6.bat
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6fnlpetp.exe
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6x8be16.cmd
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a2cmd.ExE
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a2free.ExE
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a2service.ExE
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a2upd.ExE
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\abk.bat
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adobe Gamma Loader.exe
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\algsrvs.exe
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\algssl.exe
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\angry.bat
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\anti-trojan.exe
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aNtIaRP.ExE
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\antihost.exe
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aNtS.ExE
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\apu-0607g.xml
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS SCRIPT HOST\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS SCRIPT HOST\SETTINGS\

・以下のレジストリのエレメントが変更されます。

  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\LOCKED = 1

・Outlookでセキュリティメッセージが表示されないようにするため、以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\12.0\Outlook\Security\ObjectModelGuard = 0x00000002

・以下のリソースへの接続が行われます。

  • hxxp://members.multimania.co.uk/yahoophoto/****●
  • 213.131.252.***:80
  • ・さまざまなセキュリティ製品に関連するプロセス、サービスを検索して終了します。実行中のプロセス、サービスについて、以下の文字列を検索します。

  • 'wscsvc'
  • 'MpsSvc'
  • 'WinDefend'
  • 'wuauserv'
  • 'AntiVirWebService'
  • 'McNaiAnn'
  • 'Avast! Antivirus'
  • 'aswUpdSv'
  • 'avast! Mail Scanner'
  • 'avast! Web Scanner'
  • 'AntiVirService'
  • 'AntiVirMailGuard'
  • 'AntiVirSchedulerService'
  • 'McShield'
  • 'AntiVirFirewallService'
  • 'mfefire'
  • 'McNASvc'
  • 'Mc0obeSv'
  • 'McMPFSvc'
  • 'McProxy'
  • 'Mc0DS'
  • 'mcmscsvc'
  • 'McAfee SiteAdvisor Service'
  • 'mfevtp'
  • 'Avgfws9'
  • 'AVG Security Toolbar Service'
  • 'avg9wd'
  • 'AVGIDSAgent'
  • PAVFNSVR'
  • 'Gwmsrv'
  • 'PSHost'
  • 'PSIMSVC'
  • 'PAVSRV'
  • 'PavPrSrv'
  • 'PskSvcRetail'
  • 'Panda Software Controller'
  • 'TPSrv'
  • SfCtlCom'
  • 'TmProxy'
  • 'TMBMServer'
  • Arrakis3'
  • 'LIVESRV'
  • 'scan'
  • 'VSSERV'
  • sdAuxService'
  • 'sdCoreService'
  • 'AVP'
  • rescue32
  • vzkrnl
  • hcomm
  • hrule
  • cll
  • hum
  • iffs
  • fssync
  • msvcm80
  • msvcp80
  • msvcr80
  • mzvkb
  • com
  • rescuec
  • rvins32
  • vemu
  • curi
  • vgcc
  • msvr
  • vgserv
  • vgcc32
  • sSvc
  • meworkService
  • Mgr
  • erUI
  • shs
  • skMgr
  • 360rp
  • 360s
  • febo
  • 360
  • rSwp
  • oRun
  • oRunKiller
  • vMoni
  • CCen
  • meworkservice
  • GFUp
  • IceSwor
  • rmor
  • v32
  • VPFW
  • kissvc
  • ilmon
  • KPfwSvc
  • KRegE
  • KVSrv
  • KVWSC
  • Mmsk
  • psvc
  • PFW
  • vservice
  • rfwm
  • rfwPro
  • rfwsrv
  • Rfws
  • SREngL
  • oruns
  • orunsc
  • reg
  • ini
  • bin
  • 8be16
  • 00hoe
  • 6fnlpe
  • lky
  • m2nl
  • rcuk
  • whi
  • msiz
  • wscn
  • 32krn
  • 32kui
  • swBoo
  • isp
  • shServ
  • Vis
  • shWebSv
  • shM
  • iSv
  • shLogV
  • swRegSvr
  • shSkPcc
  • swUp
  • shQuick
  • shEnhc
  • shPopWz
  • sche
  • shUp
  • vgine
  • vgrssvc
  • vgsc
  • vgupsvc
  • vgemc
  • vgw
  • svc
  • vgrs
  • vgn
  • vno
  • ify
  • vsc
  • vgu
  • vcen
  • min
  • licmgr
  • ekrn
  • vconfig
  • ilc
  • gui
  • preup
  • wsc
  • ool
  • gen
  • subwiz
  • Survey
  • seccen
  • uisc
  • vsserv
  • IEShow
  • unins
  • iss
  • licreg
  • VCm
  • VRep
  • fIns
  • VRi
  • Msg
  • VServer
  • FPro
  • fpsc
  • yproc
  • FPWin
  • fssf
  • llC
  • user
  • ump
  • mcregwiz
  • mcup
  • mgr
  • ppins
  • mcinfo
  • mgh
  • mcmnh
  • mcinsup
  • McShiel
  • mcvsm
  • McVSEscn
  • mcvsf
  • scln
  • vfin
  • VP32
  • VPCC
  • VPM
  • PW32
  • VW32
  • ICLO
  • ICMON
  • ICSUPP95
  • ICSUPPN
  • mserv
  • FRW
  • ckice
  • zone
  • vsmon
  • WrC
  • cle
  • ner3
  • ner
  • MooLive
  • lock
  • own2000
  • Sphin
  • VSHWIN32
  • VSECOMR
  • WEBSC
  • VCONSOL
  • VSS
  • 2free
  • 2service
  • 2up
  • 2cm
  • vEmSrv
  • vmr
  • vMU
  • VSCons
  • vse
  • vSn
  • vSub
  • VSubmi
  • vUM
  • vUserUp
  • vvl
  • CEmRep
  • Ins
  • Lsp
  • ccessIns
  • ller
  • unp_
  • UPS
  • ker
  • UUp
  • F5Serv
  • FrzS
  • e2k
  • obe G
  • Lo
  • WIN
  • vcim
  • VENGINE
  • PSHos
  • vFnSvr
  • VSRV51
  • PsC
  • rlS
  • PsImSvc
  • PSC
  • pskmssvc
  • vRepor
  • vsche
  • PSrv
  • WEBPRO
  • 以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルまたはレジストリの改変が存在します。
  • 予期しないネットワーク接続が行われます。
  • さまざまなマルウェア対策/セキュリティプログラムに関連するプロセス/サービスを終了します。
  • 感染方法TOPへ戻る

    ・W32/VBMania@MMはスパムメールの一部として届きます。実行時、感染したhostsの連絡先のリストにあるアドレスを収集し、自身を電子メールで送信します。また、autorunを介して拡散する機能が組み込まれており、ネットワーク共有、リムーバブルドライブに拡散できます。

    駆除方法TOPへ戻る

    Mcafee Labsウイルス定義ファイル

    ■指定されたエンジンとウイルス定義ファイル(またはそれ以降)を使用して、検出・駆除して下さい。検出に必要なDATバージョンに加え、指定されたエンジンのバージョン(またはそれ以降)を使用する必要があります。

    Extra.DAT

    ・W32/VBMania@MMを検出・修復するためのExtra.DATが提供されています。

    Stinger

    ・W32/VBMania@MMを検出・修復するためのStingerツールが公開されています。