McAfee for Small Businesses

ウイルス名 危険度 W32/VBMania@MM 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 6101 対応定義ファイル (現在必要とされるバージョン) 6104　（現在7109) 対応エンジン 5.4.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Kaspersky : Email-Worm.Win32.VBMania.a Microsoft: Worm:Win32/Visal.B Avira: Worm/Swisyn.algm 情報掲載日 2010/10/27 発見日（米国日付） 2010/09/09 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 06/17 RDN/Sdbot.bf... 06/17 VBS/LoveLett... 06/17 Generic Qhos... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7109  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る --- 2010年10月26日更新 --- ・「W32/VBMania@MM」は、リムーバブルドライブ、ネットワーク共有、または電子メールを介して拡散する、VBで作成されたワームです。拡張子が.exeのPDFアイコンで届きます。また、リモートポート80を使って、「memb[削除]ltimania.co.uk」から悪質なファイルをダウンロードします。 ・以下の場所に自身をコピーします。 %WINDIR%\system\Administrator CV 2010.exe %WINDIR%\system\updates.exe %WINDIR%\Administrator CV 2010.exe %WINDIR%\csrss.exe %SYSTEMDRIVE%\Administrator CV 2010.exe %SYSTEMDRIVE%\open.exe %Removable Drive%\ open.exe ・以下のファイルがシステムに追加されます。 %WINDIR%\system32\wbem\Logs\FrameWork.lo_ %SYSTEMDRIVE%\SendEmail.dll %WINDIR%\autorun.inf %WINDIR%\autorun2.inf %WINDIR%\ff.exe %WINDIR%\gc.exe %WINDIR%\hst.iq %WINDIR%\ie.exe %WINDIR%\im.exe %WINDIR%\op.exe %WINDIR%\pspv.exe %WINDIR%\rd.exe %WINDIR%\re.exe %WINDIR%\re.iq %WINDIR%\tryme1.exe %WINDIR%\vb.vbs %SYSTEMDRIVE%\autorun.inf %Removable Drive%\autorun.inf ・「autorun.inf」ファイルはW32/VBMania@MMの実行ファイルを指しています。リムーバブルドライブまたはネットワークドライブがAutorun機能をサポートしているマシンからアクセスされると、W32/VBMania@MMが自動的に起動されます。 ・システムの以下のファイルが改変されます。 %WINDIR%\system32\drivers\etc\hosts ・システムの以下のレジストリ値が改変されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: "Explorer.exe %WINDIR%\csrss.exe" ・上記のレジストリにより、システムが起動するたびにW32/VBMania@MMが実行されるようにします。 ・以下のレジストリ値がシステムに追加されます。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Shares\updates 'CSCFlags = 0 MaxUses = 100 Path = %WINDIR%\system Permissions = 0 Remark = Public share for update. Type = 0' HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<プロセス名><プロセス名>\ Debugger="%WINDIR%\csrss.exe" ・「プロセス名」の一例は以下のとおりです。 00hoeav.com 0w.com 360rpt.ExE 360safe.ExE 360safebox.ExE 360tray.ExE 6.bat 6fnlpetp.exe 6x8be16.cmd a2cmd.ExE a2free.ExE a2service.ExE a2upd.ExE abk.bat adobe Gamma Loader.exe algsrvs.exe algssl.exe angry.bat anti-trojan.exe aNtIaRP.ExE antihost.exe aNtS.ExE apu-0607g.xml apu.stt aPVxdWIN.ExE arSwp.ExE ashdisp.exe ashEnhcd.exe ashLogV.exe ashMaiSv.exe ashPopWz.exe ashQuick.exe ashServ.exe ashSkPcc.exe ashUpd.exe ashWebSv.exe ast.ExE aswBoot.exe aswRegSvr.exe aswUpdSv.exe autorun.bin autoRun.ExE autorun.ini autorun.reg autorun.txt autorun.wsh autoRunKiller.ExE autoruns.exe autorunsc.exe avadmin.exe avastSS.exe avcenter.exe avciman.exe avconfig.exe aVCONSOL.ExE aVENGINE.ExE avgamsvr.exe avgas.exe avgcc.exe avgcc32.exe avgemc.exe avginet.exe avgnt.exe avgrssvc.exe avgrsx.exe avgscan.exe avgscanx.exe avgserv.exe avguard.exe avgupsvc.exe avgw.exe avgwdsvc.exe avltd.exe avmailc.exe avMonitor.ExE avnotify.exe avp.com avp.exe aVP32.ExE aVPCC.ExE aVPM.ExE avscan.exe avzkrnl.dll bad1.exe bad2.exe bad3.exe bdagent.exe bdsubwiz.exe BdSurvey.exe BIOSREad.exe blackd.exe blackice.exe caiss.exe caissdt.exe catcache.dat cauninst.exe Cavapp.ExE cavasm.ExE CavaUd.ExE CaVCmd.exe CaVCtx.exe CavEmSrv.ExE Cavmr.ExE CavMUd.ExE Cavoar.ExE CavQ.ExE CaVRep.exe CaVRid.exe CaVSCons.ExE cavse.ExE CavSn.ExE CavSub.ExE CaVSubmit.ExE CavUMaS.ExE CavUserUpd.ExE Cavvl.ExE CCenter.ExE CEmRep.ExE ckahcomm.dll ckahrule.dll ckahum.dll cleaner.exe cleaner3.exe clldr.dll CMain.ExE copy.exe curidsbase.kdz destrukto.vbs dF5Serv.exe diffs.dll drvins32.exe drwadins.exe drweb32w.exe drweb386.exe drwebscd.exe drwebupw.exe drwebwcl.exe drwreg.exe e.cmd e9ehn1m8.com edb.chk egui.exe ekrn.exe EMdISK.exe f0.cmd FileKan.exe flashy.exe FPaVServer.exe FProttray.exe fpscan.exe fptrayproc.exe FPWin.exe FrameworkService.exe Frameworkservice.ExE FRW.ExE FrzState2k.exe fs6519.dll.vbs fssf.exe fssync.dll fun.xls.exe g2pfnid.com GetSI.dll GFUpd.ExE guard.exe GuardField.ExE guardgui.exe guardxkickoff.exe guardxkickoff_x64.exe guardxservice.exe guardxup.exe h3.bat Hijackthis.ExE hookinst.exe host.exe i.bat iamapp.exe iamserv.exe IceSword.ExE ICLOad95.ExE ICLOadNt.ExE ICMON.ExE ICSUPP95.ExE ICSUPPNt.ExE Identity.exe iefqwp.cmd IEShow.exe IFaCE.ExE ij.bat InstallCaVS.ExE InstLsp.ExE Iparmor.ExE iSafe.exe iSafInst.exe KaSaRP.ExE kav.bav kav32.ExE kavbase.kdl KaVPFW.ExE kavstart.ExE ker.vbs KeyMgr.exe killVBS.vbs kissvc.ExE kl1.sys klavemu.kdl klbg.cat klbg.sys klif.cat klif.sys klim5.sys kmailmon.ExE KPfwSvc.ExE KRegEx.ExE KVSrvxP.ExE KVWSC.ExE kwatch.ExE licmgr.ex licreg.exe lky.exe lockdown2000.exe m2nl.bat mbam.exe mcagent.exe mcappins.exe mcaupdate.exe mcdash.exe Mcdetect.exe mcinfo.exe mcinsupd.exe mcmnhdlr.exe mcregwiz.exe McShield.exe Mctray.exe mcupdmgr.exe mcupdui.exe McVSEscn.exe mcvsftsn.exe mcvsmap.exe mghtml.exe Mmsk.ExE MooLive.exe msdos.pif msfir80.exe MSGrc32.vbs msime80.exe msizap.exe msmsgs.exe msvcm80.dll msvcp80.dll msvcr71.dll msvcr80.dll mzvkbd.dll mzvkbd3.dll naiavfin.exe naPrdMgr.exe Navapsvc.ExE NaVaPW32.ExE NaVW32.ExE netcfg.dll new folder.exe njibyekk.com nod32.exe nod32krn.exe nod32kui.exe oasclnt.exe olb1iimw.bat OnaccessInstaller.ExE Pagent.exe Pagentwd.exe PavFnSvr.exe pavprsrv.exe PavReport.exe pavsched.exe PaVSRV51.ExE pavtest.exe pctsauxs.exe pctsSvc.exe pctstray.exe PFW.ExE preupd.exe prloader.dll procexp.exe psctrlc.exe PsCtrlS.exe PSHost.exe PsImSvc.exe pskmssvc.exe QQdoctor.ExE QtnMaint.exe RaV.ExE ravmon.exe Ravservice.ExE RavStub.ExE RaVtRaY.ExE rcukd.cmd reload.exe rescue32.exe rescuecd.zip rfwmain.ExE rfwProxy.ExE rfwsrv.ExE Rfwstub.ExE rose.exe RStray.ExE Runiep.ExE safeboxtray.ExE sal.xls.exe sched.exe SCVHOSt.exe scvhosts.exe SCVHSOt.exe SCVVHOSt.exe scvvhosts.exe SCVVHSOt.exe seccenter.exe SendLogs.exe session.exe shstat.exe Socksa.ex SOLOCFG.exe SOLOLItE.exe SOLOSCaN.exe SOLOSENt.exe Sphinx.exe spidercpl.exe spiderml.exe spidernt.exe spiderui.exe spml_set.exe Spybotsd.exe SREngLdr.ExE ssvichosst.exe sxs.exe system.exe tca.exe temp.exe temp2.exe toy.exe tPSrv.exe trojandetector.ExE trojanwall.ExE trojdie.KxP UdaterUI.exe uiscan.exe unp_test.ExE update.exe updater.dll UPSdbMaker.ExE userdump.exe UUpd.ExE v.exe Vba32act.exe Vba32arkit.exe Vba32ECM.exe Vba32ifs.exe vba32ldr.exe Vba32PP3.exe Vba32Qtn.exe vbcmserv.exe vbcons.exe vbglobal.exe vbimport.exe vbinst.exe vbscan.exe vbsystry.exe VetMsg.exe virusutilities.exe Visthaux.exe VPC32.ExE VPtRaY.ExE VSECOMR.ExE VSHWIN32.ExE vsmon.exe vsserv.exe VSStat.ExE VstskMgr.exe WEBPROxY.ExE WEBSCaNx.ExE whi.com WinGrc32.dll WOPtILItIES.ExE Wradmin.exe WrCtrl.exe wscntfy.exe wsctool.exe yannh.cmd ybj8df.exe zonealarm.exe _aVP32.ExE _aVPCC.ExE _aVPM.ExE ・このように、上記のファイルが開かれるたびにW32/VBMania@MMが実行されます。 ・以下のレジストリ値がシステムに追加されます。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\] EnableLUA="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\] PromptOnSecureDesktop="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\] EnableVirtualization="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\12.0\Outlook\Security\] ObjectModelGuard="2" ・上記のレジストリにより、WindowsおよびOutlookのセキュリティ設定を無効にします。 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\] EnableFirewall="0" ・上記のレジストリにより、感染したマシンのデフォルトのWindowsファイアウォールを無効にします。 ネットワーク共有を介した繁殖： ・W32/VBMania@MMは以下の場所に.vbsファイル（VBScriptファイル）をドロップします。 %WINDIR%\vb.vbs ・作成されたVBScriptファイルは「N73.Image12.03.2009.JPG.scr」という名前の悪質なファイルをネットワーク共有に拡散します。ホストシステムに接続されているすべてのドライブを検索し、アクセス可能なネットワーク内のシステムを見つけると、C:、D:、E:、F:、G:、H:ドライブを探し出し、上記のファイルをコピーします。 ・また、「N73.Image12.03.2009.JPG.scr」ファイルを以下の共有フォルダにコピーしようとします。 Music New Folder Print 電子メールを介した繁殖： ・ローカルシステムから電子メールアドレスを収集し、自身のコピーをユーザのOutlookのアドレス帳にあるすべてのアドレスリストに送信します。 ・メールの件名および本文は以下のようになります。 例1： 件名： Here you have 本文： Hello: This is The Document I told you about,you can find it Here. http://www.share[削除].com/library/PDF_Document21.025542010.pdf Please check it and reply as soon as possible. Cheers, 例2： 件名： Just for you 本文： Hello: This is The Free Dowload Sex Movies,you can find it Here. http://www.share[削除]om/library/SEX21.025542010.wmv Enjoy Your Time. Cheers, ・上記のリンク先では、W32/VBMania@MMのコピーをダウンロードするよう指示されます。 ・また、以下のサービスを終了します。 Avast! Antivirus aswUpdSv avast! Mail Scanner avast! Web Scanner AntiVirService AntiVirMailGuard AntiVirSchedulerService McShield AntiVirFirewallService NIS MSK80Service 0053591272669638mcinstcleanup mfefire McNASvc Mc0obeSv McMPFSvc McProxy Mc0DS mcmscsvc McAfee SiteAdvisor Service mfevtp Avgfws9 AVG Security Toolbar Service avg9wd AVGIDSAgent PAVFNSVR Gwmsrv PSHost PSIMSVC PAVSRV PavPrSrv PskSvcRetail Panda Software Controller TPSrv SfCtlCom prlo TmProxy TMBMServer Arrakis3 LIVESRV scan VSSERV sdAuxService sdCoreService AVP [%Windir%はWindowsフォルダ。例：c:\windows] -------------------------- ・W32/VBMania@MMは「Here you have」という件名を持つ大量送信されたスパムで確認されています。 ・実行時、以下のファイルがドロップ（作成）されます。 %WINDIR%\system\Administrator CV 2010.exe %WINDIR%\system\updates.exe %WINDIR%\Administrator CV 2010.exe %WINDIR%\autorun.inf %WINDIR%\autorun2.inf %WINDIR%\csrss.exe %WINDIR%\vb.vbs %DIR%\Administrator CV 2010.exe %WINDIR%\tryme1.exe %WINDIR%\im.exe %WINDIR%\csrss.exe %WINDIR%\vb.vbs %TEMP%\~DF1DC7.tmp %WINDIR%\ie.exe %WINDIR%\rd.exe %WINDIR%\re.exe %WINDIR%\system\updates.exe %WINDIR%\SYSTEM32\SendEmail.dll %WINDIR%\gc.exe %WINDIR%\hst.iq %WINDIR%\ff.exe %WINDIR%\op.exe %WINDIR%\pspv.exe %WINDIR%\re.iq %WINDIR%\ff.dlm %APPDATA%\addons.dat %WINDIR% = \WINDOWS (Windows 9x/ME/XP/Vista/7), \WINNT (Windows NT/2000) ・以下のファイルが一時的に作成され、その後削除されます。 %WINDIR%\ff.iq %WINDIR%\ie.iq %WINDIR%\SendEmail.iq %WINDIR%\w.iq %WINDIR%\m.iq %WINDIR%\gc.iq %WINDIR%\SYSTEM32\drivers\etc\hosts %WINDIR%\pspv.iq %WINDIR%\w.exe %WINDIR%\tryme.iq %WINDIR%\im.iq %WINDIR%\rd.iq %TEMP%\~DFAFA.tmp %WINDIR%\m.exe %WINDIR%\SendEmail.dll %WINDIR%\b.bat %WINDIR%\op.iq ・以下のファイルが書き換えられます。 %WINDIR%\SYSTEM32\wbem\logs\wbemprox.log ・W32/VBMania@MM は、特定の実行ファイルをランダムに消去したり、現在のホストファイルを書き換えることが知られています。 ・システムツールが動作しないよう、以下のレジストリの変更が行われます。ここに挙げられているのは、変更の一部です。 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\00hoeav.com HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\0w.com HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.ExE HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.ExE HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.ExE HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.ExE HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6.bat HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6fnlpetp.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\6x8be16.cmd HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a2cmd.ExE HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a2free.ExE HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a2service.ExE HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a2upd.ExE HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\abk.bat HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adobe Gamma Loader.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\algsrvs.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\algssl.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\angry.bat HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\anti-trojan.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aNtIaRP.ExE HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\antihost.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aNtS.ExE HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\apu-0607g.xml HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS SCRIPT HOST\ HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS SCRIPT HOST\SETTINGS\ ・以下のレジストリのエレメントが変更されます。 HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\LOCKED = 1 ・Outlookでセキュリティメッセージが表示されないようにするため、以下のレジストリキーが追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\12.0\Outlook\Security\ObjectModelGuard = 0x00000002 ・以下のリソースへの接続が行われます。 hxxp://members.multimania.co.uk/yahoophoto/****● 213.131.252.***:80 ・さまざまなセキュリティ製品に関連するプロセス、サービスを検索して終了します。実行中のプロセス、サービスについて、以下の文字列を検索します。 'wscsvc' 'MpsSvc' 'WinDefend' 'wuauserv' 'AntiVirWebService' 'McNaiAnn' 'Avast! Antivirus' 'aswUpdSv' 'avast! Mail Scanner' 'avast! Web Scanner' 'AntiVirService' 'AntiVirMailGuard' 'AntiVirSchedulerService' 'McShield' 'AntiVirFirewallService' 'mfefire' 'McNASvc' 'Mc0obeSv' 'McMPFSvc' 'McProxy' 'Mc0DS' 'mcmscsvc' 'McAfee SiteAdvisor Service' 'mfevtp' 'Avgfws9' 'AVG Security Toolbar Service' 'avg9wd' 'AVGIDSAgent' PAVFNSVR' 'Gwmsrv' 'PSHost' 'PSIMSVC' 'PAVSRV' 'PavPrSrv' 'PskSvcRetail' 'Panda Software Controller' 'TPSrv' SfCtlCom' 'TmProxy' 'TMBMServer' Arrakis3' 'LIVESRV' 'scan' 'VSSERV' sdAuxService' 'sdCoreService' 'AVP' rescue32 vzkrnl hcomm hrule cll hum iffs fssync msvcm80 msvcp80 msvcr80 mzvkb com rescuec rvins32 vemu curi vgcc msvr vgserv vgcc32 sSvc meworkService Mgr erUI shs skMgr 360rp 360s febo 360 rSwp oRun oRunKiller vMoni CCen meworkservice GFUp IceSwor rmor v32 VPFW kissvc ilmon KPfwSvc KRegE KVSrv KVWSC Mmsk psvc PFW vservice rfwm rfwPro rfwsrv Rfws SREngL oruns orunsc reg ini bin 8be16 00hoe 6fnlpe lky m2nl rcuk whi msiz wscn 32krn 32kui swBoo isp shServ Vis shWebSv shM iSv shLogV swRegSvr shSkPcc swUp shQuick shEnhc shPopWz sche shUp vgine vgrssvc vgsc vgupsvc vgemc vgw svc vgrs vgn vno ify vsc vgu vcen min licmgr ekrn vconfig ilc gui preup wsc ool gen subwiz Survey seccen uisc vsserv IEShow unins iss licreg VCm VRep fIns VRi Msg VServer FPro fpsc yproc FPWin fssf llC user ump mcregwiz mcup mgr ppins mcinfo mgh mcmnh mcinsup McShiel mcvsm McVSEscn mcvsf scln vfin VP32 VPCC VPM PW32 VW32 ICLO ICMON ICSUPP95 ICSUPPN mserv FRW ckice zone vsmon WrC cle ner3 ner MooLive lock own2000 Sphin VSHWIN32 VSECOMR WEBSC VCONSOL VSS 2free 2service 2up 2cm vEmSrv vmr vMU VSCons vse vSn vSub VSubmi vUM vUserUp vvl CEmRep Ins Lsp ccessIns ller unp_ UPS ker UUp F5Serv FrzS e2k obe G Lo WIN vcim VENGINE PSHos vFnSvr VSRV51 PsC rlS PsImSvc PSC pskmssvc vRepor vsche PSrv WEBPRO 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のファイルまたはレジストリの改変が存在します。 予期しないネットワーク接続が行われます。 さまざまなマルウェア対策／セキュリティプログラムに関連するプロセス／サービスを終了します。 感染方法 TOPへ戻る ・W32/VBMania@MMはスパムメールの一部として届きます。実行時、感染したhostsの連絡先のリストにあるアドレスを収集し、自身を電子メールで送信します。また、autorunを介して拡散する機能が組み込まれており、ネットワーク共有、リムーバブルドライブに拡散できます。 駆除方法 TOPへ戻る Mcafee Labsウイルス定義ファイル ■指定されたエンジンとウイルス定義ファイル（またはそれ以降）を使用して、検出・駆除して下さい。検出に必要なDATバージョンに加え、指定されたエンジンのバージョン（またはそれ以降）を使用する必要があります。 Extra.DAT ・W32/VBMania@MMを検出・修復するためのExtra.DATが提供されています。 Stinger ・W32/VBMania@MMを検出・修復するためのStingerツールが公開されています。