McAfee for Small Businesses

ウイルス名 危険度 W32/Winemmem 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 5576 対応定義ファイル (現在必要とされるバージョン) 5576　（現在7080) 対応エンジン 5.2.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 W32.Winemmem!Inf (Symantec) 情報掲載日 2009/04/08 発見日（米国日付） 2009/04/04 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/19 RDN/Generic ... 05/19 Generic Down... 05/19 RDN/Download... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・W32/Winemmemはパッケージ、インストーラ、自己解凍型の圧縮ファイル（エキストラデータ、いわゆる「オーバーレイ」を持つファイル）に感染します。オリジナルのアプリケーションのコードセクションを書き換え、ランダムなサイズのコードのブロックをコードセクション、OEPの先頭からファイルの終わりに移動して、エキストラデータのサイズを増やします。新しいセクションを作成したり、PEヘッダを改変したりすることはありません。感染ファイルの実行時にシステムを制御するため、エントリポイントにあるオリジナルのコードを書き換えます。 ・実行時、カレントプロセスの以下のAPIにフックします。 CreateFileA ExitProcess ExitWindowsEx -- 2009年4月7日更新 -- ・感染すると、W32/WinemmemはCreateFileA() APIにフックします。W32/Winemmemはシステムを制御し、Program FilesフォルダのWindows PE実行ファイルを検索します。さらに、インポートテーブルを解析し、実行ファイル（EXE）に関連するシステムダイナミックリンクライブラリ（DLL）を検索します。次に、見つかったDLLを見つかったEXEファイルと同じフォルダにコピーし、エントリポイントのコードを改変し、ウイルス本体を最後のセクションの終わりに付加して、コピーしたDLLに感染します。これにより、感染したEXEファイルが実行されるたびに悪意のあるコードが実行されるようにします。 ・実行時、W32/WinemmemはCreateFileA() APIにフックし、感染したアプリケーションが最初にこのAPIを呼び出したときに悪質な活動を実行します。また、ドライブ全体で感染可能な実行ファイルを検索することにより、リムーバブルドライブのファイルに感染し、[削除].c0m.stからリモートファイルをダウンロードし実行する可能性があります。 ・改変されたシステムライブラリもW32/Winemmemという名前で検出されます。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・実行ファイルが改変されます（exeファイルのサイズが増えます）。 感染方法 TOPへ戻る ・W32/Winemmemはファイル感染型ウイルスです。バイナリファイルを手動で実行すると、感染が開始されます。乗っ取ったマシンからアクセスされたネットワーク共有の実行ファイルも感染する可能性があります。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足