製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:V
ウイルス情報
ウイルス名危険度
W32/Vesser.worm.b
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4309
対応定義ファイル
(現在必要とされるバージョン)
4326 (現在7577)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名Win32.Worm.Vesser.B (Softwin)
WORM_DEADHAT.B (Trend)
情報掲載日04/02/10
発見日(米国日付)02/02/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/29RDN/Generic ...
09/29RDN/Generic....
09/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7577
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Vesser.worm.bは、ピアツーピアファイル共有アプリケーションのSoulseekを介して繁殖します。 W32/Mydoom.a@MMウイルスとW32/Mydoom.b@MMウイルスが作成したリモートアクセスコンポーネントを介して繁殖を試みることもあります。感染したコンピュータを検出し、MydoomをアンインストールしてW32/Vesser.worm.bをインストールするように指示します。W32/Vesser.worm.bは、TCPポート2766を聴取します。また、IRCサーバにアクセスして、特定のチャネルにログインし、以降の指示を待ちます。

総称による検出

・W32/Vesser.worm.bは、スキャンエンジン4.2.40と定義ファイル4309またはそれ以降でプログラムヒューリスティックを有効にして圧縮ファイルをスキャン(デフォルトのオプション)すると、New Malware.b (特定のウイルス名ではなく、ウイルスの総称です)として検出されます。(ゲートウェイ製品で総称による検出を実行すると、定義ファイル4273またはそれ以降でNew Malware.bとして検出されます) W32/Vesser.worm.bという特定の名称で検出されるのは、定義ファイル4324です。

・W32/Vesser.worm.bはMSGSRV32.EXEとしてWindows Systemディレクトリに自身をコピーします。

・書き込まれるファイルの例:
C:\WINNT\SYSTEM32\MSGSRV32.EXE

・W32/Vesser.worm.bは以下のレジストリ実行キーを作成して、システムの起動時に自身を読み込みます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "msgsrv32" = C:\WINNT\SYSTEM32\MSGSRV32.EXE

・W32/Vesser.worm.bは、レジストリからSoulseekのインストールパスを検索して、shared.cfg設定で読み込み、ユーザの注意を引くような以下のファイル名で共有ディレクトリに自身をコピーします(W32/Vesser.worm.bが実行されるたびに、ファイルを1つ作成します)。

  • ALL.SERIALS.COLLECTION.2003-2004.EXE
  • BLINDWRITE.SUITE.V4.5.2.SERIAL.GENERATOR.EXE
  • F-SECURE.ANTIVIRUS.KEYMKR.EXE
  • FRUITYLOOPS.SPYWIRE.FIX.EXE
  • FLASHFXP.V2.1.FINAL.CRACK.EXE
  • GOLDENHAWK.CDRWIN.V3.9E.INCL.KEYGEN.EXE
  • NORTON.ALL.PRODUCTS.KEYMKR.EXE
  • SECURECRTPATCH.EXE
  • SERV-U.ALLVERSIONS.KEYMAKER.EXE
  • TWEAKXPPROKEYGENERATOR.EXE
  • WINRAR.EXE
  • WINRESCUE.XP.V1.08.14.EXE
  • WINXPKEYGEN.EXE
  • WINDOWS2003KEYGEN.EXE
  • WINZIP.EXE
  • MIRC.V6.12.KEYGEN.EXE
  • WINAMP5.CRACK.EXE

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・W32/Vesser.worm.bは各セキュリティ製品に関連するプロセスを強制終了します。これらのプロセスの一部はW32/Mydoom@MMに関連します。
  • _avp
  • kfp4gui
  • kfp4ss
  • zonealarm
  • Azonealarm
  • avwupd32
  • avwin95
  • avsched32
  • avp
  • avnt
  • avkserv
  • avgw
  • avgctrl
  • avgcc32
  • ave32
  • avconsol
  • apvxdwin
  • ackwin32
  • blackice
  • blackd
  • dv95
  • espwatch
  • esafe
  • efinet32
  • ecengine
  • f-stopw
  • frw
  • fp-win
  • f-prot95
  • f-prot
  • fprot
  • f-agnt95
  • gibe
  • iomon98
  • iface
  • icsupp
  • icssuppnt
  • icmoon
  • icmon
  • icloadnt
  • icload95
  • ibmavsp
  • ibmasn
  • iamserv
  • iamapp
  • kpfw32
  • nvc95
  • nupgrade
  • nupdate
  • normist
  • nmain
  • nisum
  • navw
  • navsched
  • navnt
  • navlu32
  • navapw32
  • zapro
  • document
  • readme
  • doc
  • text
  • file
  • data
  • test
  • message
  • body
  • taskmon
  • xsharez_scanner
  • BlackIce_Firewall_Enterpriseactivation_crack
  • zapSetup_95_693
  • MS59-56_hotfix
  • winamp0
  • NessusScan_pro
  • attackXP-6.71
・以下のリモートサーバ(宛先ポート6667、IRC)の1つにTCPトラフィックを送信します。
  • viccy.2y.net
  • viccy.dyns.cx
  • viccy.mycoding.com
  • viccy.mykgb.com
  • viccy.yaboo.dk
  • viccy.45z.com
  • viccy.my-ho.st
  • viccy.hthl.ca
  • viccy.iwas2.net
  • viccy.sytes.net
  • viccy.dynsite.net
  • viccy.teasercam.com
・ターゲットマシンから特定のシステムファイルが削除されます。
  • C:\boot.ini
  • C:\autoexec.bat
  • C:\config.sys
  • C:\Windows\win.ini
  • C:\Windows\system.ini
  • C:\Windows\wininit.ini
  • C:\Winnt\win.ini
  • C:\Winnt\system.ini
  • C:\Winnt\wininit.ini

感染方法TOPへ戻る

・W32/Vesser.worm.bはSoulseekを介して繁殖し、W32/Mydoom@MMに感染したシステムへの繁殖を試みます。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足