製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:W
ウイルス情報
ウイルス名危険度
W32/Waledac.gen.b
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)		5495
対応定義ファイル
(現在必要とされるバージョン)		5497 (現在7080)
対応エンジン5.2.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Worm_Waledac.kax (Trend Micro) Email-Worm.Win32.Iksmas.y (Kaspersky) W32.Waledac (Symantec) Trojan:Win32/Waledac.A (Microsoft)
情報掲載日2009/01/21
発見日(米国日付)2009/01/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/18RDN/Generic....
05/18RDN/Generic....
05/18Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7080
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る

-- January 20, 2009 --
・メディアで注目されたため、W32/Waledac.gen.bの危険度を[低(要注意)]に変更しました。
http://www.eweek.com/c/a/Security/Malicious-Sites-With-Fake-Obama-News-Trying-to-Build-Botnet/?kc=rss
--

・W32/Waledac.gen.bはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・W32/Waledac.gen.bはバラク・オバマ大統領に関係しているように見えるWebサイトに受信者を誘導するスパムメールの一部として確認されています。

・確認されているサイトには、*.bamaonline.com、*.bamaguide.com、*.bamadirect.comドメイン内のサイトなどがあります。

・実行時には以下の特徴が見られます。

・以下のレジストリキーが改変されるか、追加されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion "MyID"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion "RList"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PromoReg"

・以下の拡張子を除くホストのファイルから電子メールを収集しようとします。

  • .7z
  • .avi
  • .bmp
  • .class
  • .dll
  • .exe
  • .gif
  • .gz
  • .hxd
  • .hxh
  • .hxn
  • .hxw
  • .jar
  • .jpeg
  • .jpg
  • .mov
  • .mp3
  • .msi
  • .ocx
  • .ogg
  • .rar
  • .vob
  • .wav
  • .wave
  • .wma
  • .wmv
  • .zip

・電子メールの収集後、[ランダムなファイル名].pngでファイルのリモートIPにデータを投稿しようとします。

・編集したドメインの一部は以下のとおりです。

  • [編集済み].166.248
  • [編集済み].72.6
  • [編集済み].114.168
  • [編集済み].218.23
  • [編集済み].249.201
  • [編集済み].141.41
  • [編集済み].154.180
  • [編集済み].6.48
  • [編集済み].184.131
  • [編集済み].231.161
  • [編集済み].183.47
  • [編集済み].211
  • [編集済み].30.151
  • [編集済み].226.98
  • [編集済み].242.189
  • [編集済み].204.133
  • [編集済み].58.23
  • [編集済み].211.196
  • [編集済み].55.24
  • [編集済み].72.54
  • [編集済み].245.134
  • [編集済み].38.228
  • [編集済み].90.87
  • [編集済み].187.145
  • [編集済み].65.98
  • [編集済み].205.244
  • [編集済み].148.117
  • [編集済み].9.136
  • [編集済み].79.159
  • [編集済み].47.17
  • [編集済み].51.223
  • [編集済み].149.19
  • [編集済み].163.128
  • [編集済み].56.89
  • [編集済み].117.165
  • [編集済み].189.97
  • [編集済み].170.24
  • [編集済み].80.197
  • [編集済み].233.172
  • [編集済み].154.212
  • [編集済み].157.23
  • [編集済み].253.159
  • [編集済み].233.136
  • [編集済み].58.39

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のレジストリキーが存在します。
  • データを投稿しようとする予期しないネットワーク接続が行われます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。また、一部の亜種はWebの脆弱性を利用してインストールされます。W32/Waledac.gen.bはスパムメールの一部として確認されました。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足