ウイルス情報

ウイルス名 危険度

W32/Xirtem@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5453
対応定義ファイル
(現在必要とされるバージョン)
6199 (現在7656)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Mal/CryptBox-A (Sophos) Trojan.Win32.Buzus.cvcz (Kaspersky) Win32/Merond.AA (NOD32) Worm:Win32/Prolaco.gen!C (Microsoft) BitDefender - Win32.Worm.TSY DrWeb - Trojan.AVKill.3097 Kaspersky - Trojan.Win32.Buzus.gcjo Microsoft - VirTool:Win32/DelfInject.gen!AC DrWeb - Trojan.MulDrop1.54160 Symantec - W32.Ackantta.H@mm Kaspersky - Trojan.Win32.Buzus.gdef Microsoft - Trojan:Win32/Meredrop NOD32 - Win32/Merond.O eTrust-Vet - Win32/Fruspam.EH Kaspersky - P2P-Worm.Win32.BlackControl.d Microsoft - Worm:Win32/Prolaco.gen!C NOD32 - a variant of Win32/Injector.CLU Symantec - W32.Ackantta!gen
情報掲載日 2010/10/18
発見日(米国日付) 2008/12/03
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Xirtem@MMは、autorun.infを使ってリムーバブルメディアを経由して拡散したり、P2Pアプリケーションの共有フォルダに自身をコピーして拡散する大量メール送信型ワームです。

-- 2010年8月3日更新 --

ファイル情報:

  • MD5 - 563f303249df5c583f6595f081e5dd61
  • SHA1 - 55bd8264a0047a0acf2f4ed1b50bde874135eb84

-- 2010年10月26日更新 ---------

ファイル情報

  • MD5 - ad9ea226e7518973d7026522546fc02a
  • SHA1 - 7c16bb8d8daf1f6e5d0d73cbe0ddf7ef37a11d08

TOPへ戻る

ウイルスの特徴

-- 2010年12月14日更新 ------

・実行時、W32/Xirtem@MMは「whatismyip.com」に接続してターゲットマシンのIPアドレスを検索し、[削除].kathell.comに接続します。

・実行時、以下のファイルをシステムにドロップ(作成)します。

  • %Temp%\TWAIN.LOG
  • %Temp%\Twain001.Mtx
  • %WinDir%\System32\sta-css.exe [Hiloti.gen.iという名前で検出]
  • %WinDir%\System32\stat-cpe.exe [Backdoor-AWQ.bという名前で検出]
  • %WinDir%\nlunupr.dll [Hiloti.gen.iという名前で検出]

・また、以下の場所に自身をコピーします。

  • %WinDir%\System32\Bluetooth.exe

・また、以下のファイル名を使って、P2Pアプリケーションの共有フォルダに自身をコピーして拡散します。

  • %ProgramFiles%\LimeWire\Shared\Rapidshare Auto Downloader 3.8.exe
  • %ProgramFiles%\LimeWire\Shared\Trojan Killer v2.9.4173.exe
  • %ProgramFiles%\LimeWire\Shared\PDF to Word Converter 3.0.exe
  • %ProgramFiles%\LimeWire\Shared\Google SketchUp 7.1 Pro.exe
  • %ProgramFiles%\LimeWire\Shared\McAfee Total Protection 2010.exe
  • %ProgramFiles%\LimeWire\Shared\Mp3 Splitter and Joiner Pro v3.48.exe
  • %ProgramFiles%\LimeWire\Shared\Youtube Music Downloader 1.0.exe
  • %ProgramFiles%\LimeWire\Shared\Adobe Acrobat Reader keygen.exe
  • %ProgramFiles%\LimeWire\Shared\VmWare keygen.exe
  • %ProgramFiles%\LimeWire\Shared\AnyDVD HD v.6.3.1.8 Beta incl crack.exe
  • %ProgramFiles%\LimeWire\Shared\Ad-aware 2010.exe
  • %ProgramFiles%\LimeWire\Shared\BitDefender AntiVirus 2010 Keygen.exe
  • %ProgramFiles%\LimeWire\Shared\Norton Anti-Virus 2010 crack.exe
  • %ProgramFiles%\Grokster\My Grokster\Daemon Tools Pro 4.50.exe
  • %ProgramFiles%\Grokster\My Grokster\Download Boost 2.0.exe
  • %ProgramFiles%\Grokster\My Grokster\Uniblue RegistryBooster 2010.exe
  • %ProgramFiles%\Grokster\My Grokster\Grand Theft Auto Episodes From Liberty City 2010.exe
  • %ProgramFiles%\Grokster\My Grokster\Alcohol 120 v1.9.7.exe
  • %ProgramFiles%\Grokster\My Grokster\CleanMyPC Registry Cleaner v6.02.exe
  • %ProgramFiles%\Grokster\My Grokster\Super Utilities Pro 2009 11.0.exe
  • %ProgramFiles%\Grokster\My Grokster\Power ISO v4.2 + keygen axxo.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Download Accelerator Plus v9.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Internet Download Manager V5.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Myspace theme collection.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Nero 9 9.2.6.0 keygen.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Motorola, nokia, ericsson mobil phone tools.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\AVS Video Converter v6.3.1.365 CRACKED.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Daemon Tools Pro 4.50.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Download Boost 2.0.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Uniblue RegistryBooster 2010.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Grand Theft Auto Episodes From Liberty City 2010.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Alcohol 120 v1.9.7.exe

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Hnuruyaxubexuyir
  • HKEY_LOCAL_MACHINE\SOFTWARE\bt1
  • HKEY_USERS\S-1-[不定]\Software\bt1

・以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
    UACDisableNotify = 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\
    EnableLUA = 0x00000000
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Hnuruyaxubexuyir\
    Pvunecolayiza =
    Sxujoqoyamuk =
    Kxutudevibebax = "173"
    Eyaqaqojunehohi =
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\
    FailureActions =
    DeleteFlag = 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\
    FailureActions =
    DeleteFlag = 0x00000001
  • HKEY_USERS\S-1-5[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\
    blue1 = "12"
    blue12 = "13"

・以下の値をレジストリキーに追加して、Windowsファイアウォールで許可されたアプリケーションとして自身を登録します。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%WinDir%\system32\Bluetooth.exe: "%WinDir%\system32\Bluetooth.exe:*:Enabled:Explorer"
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
    BlueTooth HID = "%WinDir%\system32\Bluetooth.exe"
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
    Nfuti = "rundll32.exe "%WinDir%\nlunupr.dll",Startup"

・上記の2つのレジストリ項目により、再起動のたびに自身を実行するRUN項目を登録します。以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\]
    "Start:" = "0x00000004"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\]
    "Start:" = "0x00000004"

・上記のレジストリ項目により、Error Reporting Service(ERSvc)およびWindows Security Center Service(wscsvc)を無効にします。

・ポート25を介して以下のIPアドレスに接続し、悪質なファイルをダウンロードします。

  • 89.201.[削除]
  • [削除].recro.hr
  • 217.198.[削除]
  • [削除].famatech.com
  • 131.107.[削除]
  • [削除]bookmail.com
  • 136.248.[削除]
  • 205.248.[削除]
  • 216.32.[削除]
  • 65.55.[削除]
  • mail.[削除].frontbridge.com

・また、ポート80を介して以下のIPアドレスに接続します。

  • 65.55.[削除]
  • 72.233.[削除]
  • 94.75.[削除]

・「Whatismyip.com」に接続して、ターゲットのIPアドレスを入手します。

・また、大量メール送信機能が組み込まれており、自身のコピーが添付された電子メールをシステムで収集した電子メールアドレスに送信します。

電子メールの送信者:

  • <E-CARDS@HALLMARK.COM>
  • <UPDATE@FACEBOOKMAIL.COM>

電子メールの受信者:

  • <MSOE@MICROSOFT.COM>
  • [ユーザのメールアドレス]
  • <MSDN@MICROSOFT.COM>

[注: %ProgramFiles% - C:\Program Files、%WinDir% - C:\WINDOWS]


-- 2010年10月26日更新 ---------

・実行時、W32/Xirtem@MMは「whatismyip.com」に接続してターゲットマシンのIPアドレスを検索し、[削除]da112c.coginix.orgに接続します。

・実行時、以下のファイルをシステムにドロップ(作成)します。

  • %Temp%\TWAIN.LOG
  • %Temp%\Twain001.Mtx
  • %WinDir%\System32\sta-css.exe [Hiloti.gen.iという名前で検出]
  • %WinDir%\System32\stat-cpe.exe [Backdoor-AWQ.bという名前で検出]
  • %WinDir%\slocic.dll [Hiloti.gen.iという名前で検出]

・また、以下の場所に自身をコピーします。

  • %WinDir%\System32\PCSuite.exe

・また、以下のファイル名を使って、P2Pアプリケーションの共有フォルダに自身をコピーして拡散します。

  • %ProgramFiles%\LimeWire\Shared\PDF-XChange Pro.exe
  • %ProgramFiles%\LimeWire\Shared\Windows 7 Ultimate keygen.exe
  • %ProgramFiles%\LimeWire\Shared\RapidShare Killer AIO 2010.exe
  • %ProgramFiles%\LimeWire\Shared\Ashampoo Snap 3.02.exe
  • %ProgramFiles%\LimeWire\Shared\Blaze DVD Player Pro v6.52.exe
  • %ProgramFiles%\LimeWire\Shared\Adobe Illustrator CS4 crack.exe
  • %ProgramFiles%\LimeWire\Shared\Rapidshare Auto Downloader 3.8.exe
  • %ProgramFiles%\Grokster\My Grokster\Anti-Porn v13.5.12.29.exe
  • %ProgramFiles%\Grokster\My Grokster\Norton Internet Security 2010 crack.exe
  • %ProgramFiles%\Grokster\My Grokster\Kaspersky AntiVirus 2010 crack.exe
  • %ProgramFiles%\Grokster\My Grokster\PDF-XChange Pro.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Image Size Reducer Pro v1.0.1.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Anti-Porn v13.5.12.29.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Norton Internet Security 2010 crack.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Kaspersky AntiVirus 2010 crack.exe

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Hnuruyaxubexuyir
  • HKEY_LOCAL_MACHINE\SOFTWARE\Nokia4
  • HKEY_USERS\S-1-[不定]\Software\Nokia4

・以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
    UACDisableNotify = 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\
    EnableLUA = 0x00000000
  • KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Hnuruyaxubexuyir\
    Kxutudevibebax = "176"
    Pvunecolayiza =
    Sxujoqoyamuk =
  • HKEY_USERS\S-1-S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\
    nok01 = "11"
    nok02 = "26"

・以下の値をレジストリキーに追加して、Windowsファイアウォールで許可されたアプリケーションとして自身を登録します。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%WinDir%\system32\PCSuite.exe: "%WinDir%\system32\PCSuite.exe:*:Enabled:Explorer"
  • HKEY_USERS\S-1-S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
    Nokia Launch Application = "%WinDir%\system32\PCSuite.exe"
  • HKEY_USERS\S-1-S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
    Nfuti = "rundll32.exe "%WinDir%\slocic.dll",Startup"

・上記の2つのレジストリ項目により、再起動のたびに自身を実行するRUN項目を登録します。

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\]
    "Start:" = "0x00000004"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\]
    "Start:" = "0x00000004"

・上記のレジストリ項目により、Error Reporting Service(ERSvc)およびWindows Security Center Service(wscsvc)を無効にします。

・また、以下のIPアドレスに接続し、悪質なファイルをダウンロードします。

  • [削除].rev.ne.com.sg
  • 193.41.[削除]
  • 217.198.[削除]
  • mail.global.[削除].com
  • 89.201.[削除]
  • 207.46.[削除]
  • 84.17.[削除]
  • 64.26.[削除]
  • [削除].deploy.akamaitechnologies.com
  • sienna.[削除].com
  • [削除].deluxe.com
  • indigo.[削除].com
  • maroon.[削除].com
  • maila.[削除].com
  • cliffclavin.cs.[削除].edu
  • mail.metalab.[削除].edu
  • [削除]shared.com

・「Whatismyip.com」に接続して、ターゲットのIPアドレスを入手します。

・また、大量メール送信機能が組み込まれており、自身のコピーが添付された電子メールをシステムで収集した電子メールアドレスに送信します。

電子メールの送信者:

  • <UPDATE@FACEBOOKMAIL.COM>
  • <RESUME-THANKS@GOOGLE.COM>

電子メールの受信者:

  • <HOT-LINE@MICROSOFT.HR>
  • <INFO-LINE@MICROSOFT.HR>
  • <INET@MICROSOFT.COM>
  • <MSDN@MICROSOFT.COM>
  • <MSOE@MICROSOFT.COM>
  • [ユーザのメールアドレス]
  • <INFOSERVICE@MICROSOFT.AT>

[注: %ProgramFiles% - C:\Program Files, and %WinDir% - C:\WINDOWS]


-- 2010年10月15日更新 --

・W32/Xirtem@MMが実行されると、「whatismyip.com」に接続してターゲットマシンのIPアドレスを検索し、以下のドメインに接続します。

  • (不定).networkofart.net

・以下のファイルがシステムにドロップされます。

  • %WINDIR%\system32\hp-513.exe [Hiloti.gen.eという名前で検出]
  • %WINDIR%\kbanet40.dll (名前は不定) [Hiloti.gen.eという名前で検出]

・また、以下の場所に自身のコピーをドロップ(作成)します。

  • %WINDIR%\system32\HPWuSchedv.exe [W32/Xirtem@MMという名前で検出]
  • [リムーバブルドライブ]:\RECYCLER\S-1-6-(不定)\redmond.exe [W32/Xirtem@MMという名前で検出]

・また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。

[リムーバブルドライブ]:\autorun.inf

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Cyojileki
  • HKEY_LOCAL_MACHINE\SOFTWARE\HP145
  • HKEY_USERS\S-1-5-21-(不定)\Software\HP145

・以下の値をレジストリキーに追加して、Windowsのユーザアカウント制御(UAC)を無効にします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\]
    UACDisableNotify="1"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]
    EnableLUA="0"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Cyojileki\]
    Hdicu="168"

・以下のレジストリ項目を追加して、Windowsファイアウォールで許可されたアプリケーションとして自身を登録します。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
    %WINDIR%\system32\HPWuSchedv.exe="%WINDIR%\system32\HPWuSchedv.exe:*:Enabled:Explorer"

・以下のレジストリ項目により、Windowsが起動するたびにW32/Xirtem@MMが実行されるようにします。

  • [HKEY_USERS\S-1-5-21-Varies\Software\Microsoft\Windows\CurrentVersion\Run\]
    HP Software Updater v2.7="%WINDIR%\system32\HPWuSchedv.exe"
  • [HKEY_USERS\S-1-5-21-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
    Fgoroxir="rundll32.exe "%WINDIR%\kbanet40.dll",Startup"

・以下のシステムのレジストリが改変されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\]
    Start="4"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\]
    Start="4"

・上記のレジストリ項目により、Error Reporting Service(ERSvc)およびWindows Security Center Service(Wscsvc)を無効にします。

電子メールを介した繁殖:

・W32/Xirtem@MMは自身のSMTPエンジンを使って、自身のコピーを添付ファイルとして電子メールで送信します。電子メールの添付ファイルは以下のアドレスから送られる可能性があります。

e-cards@hallmark.com
order-update@amazon.com
resume-thanks@google.com
thomas.gimpel@ferrari.de
update@facebookmail.com
invitations@twitter.com

例:e-cards@hallmark.comの場合、メールの件名および本文は以下のようになります。

件名: You have received a Hallmark E-Card

本文:

"You have received a Hallmark E-Card from your friend.
To see it, check the attachment.
There's something special about that E-Card feeling. We invite you to make a friend's day and send one.
Hope to see you soon,
Your friends at Hallmark"

電子メールの受信者:[ユーザの電子メールアドレス]

・W32/Xirtem@MMのインスタンスが一度に1つだけ動作するよう、以下のMutexオブジェクトが作成されます。

oleacc-msaa-loaded
6124805e

[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)]

-- 2010年8月3日更新 --

・実行時、以下の場所に自身をコピーし、リモートポート53から「220.225.(削除)」に接続します。

  • %WinDir%system32\HPWuSchd9.exe

・また、「svchost.exe」に悪質なコードを挿入し、リモートポート53から「202.54.(削除)」に接続してバックドアを開きます。

・ユーザがGoogle、Yahoo、Bingなどの検索エンジンを使用すると、ブラウザが「tetrosearch.com」にリダイレクトされます。

・以下のファイルをドロップ(作成)します。

  • %AppData%\SystemProc\lsass.exe
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest

・また、以下のファイル名を使って、P2Pアプリケーションの共有フォルダに自身をコピーして拡散します。

(一般的に、使われるファイル名は人気のあるアプリケーションとそのクラック/キージェネレータです。)
  • %ProgramFiles%\LimeWire\Shared\K-Lite Mega Codec v5.5.1.exe
  • %ProgramFiles%\LimeWire\Shared\YouTubeGet 5.4.exe
  • %ProgramFiles%\LimeWire\Shared\Windows 2008 Enterprise Server VMWare Virtual Machine.exe
  • %ProgramFiles%\LimeWire\Shared\K-Lite Mega Codec v5.6.1 Portable.exe
  • %ProgramFiles%\LimeWire\Shared\WinRAR v3.x keygen RaZoR.exe
  • %ProgramFiles%\LimeWire\Shared\Twitter FriendAdder 2.1.1.exe
  • %ProgramFiles%\Grokster\My Grokster\Starcraft2 keys.txt.exe
  • %ProgramFiles%\Grokster\My Grokster\Starcraft2 Crack.exe
  • %ProgramFiles%\Grokster\My Grokster\Starcraft2 Oblivion DLL.exe
  • %ProgramFiles%\Grokster\My Grokster\Starcraft2.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Total Commander7 license+keygen.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\LimeWire Pro v4.18.3.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Tuneup Ultilities 2010.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Kaspersky Internet Security 2010 keygen.exe
  • %ProgramFiles%\Morpheus\My Shared Folder\Windows XP PRO Corp SP3 valid-key generator.exe

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\HP9
  • HKEY_USERS\S-1-[不定]\Software\HP9

・Windowsファイアウォールを回避するため、以下のレジストリ項目を追加します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%WinDir%\System32\HPWuSchd9.exe: "%WinDir%\System32\HPWuSchd9.exe:*:Enabled:Explorer"

・システム起動時に自身を起動するため、以下のレジストリ項目を追加します。

  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
    HP Software Updater9 = "%WinDir%\System32\HPWuSchd9.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    RTHDBPL = "%AppData%\SystemProc\lsass.exe"

・以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    UACDisableNotify = 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    EnableLUA = 0x00000000
  • [HKEY_CURRENT_USER\Identities]
    Curr version = "25"
    Last Date = "Date of Execution"
    Inst Date = "Date of Execution"
    Popup count = "0"
    Popup time = "0"
    Popup date = "0"

・以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\
    Start = 0x00000004

・以下のレジストリ項目により、Error Reporting Service(ERSvc)を無効にします。

・以下のフォルダが追加されます。

  • %AppData%\SystemProc
  • %ProgramFiles%\Mozilla Firefox
  • %ProgramFiles%\Mozilla Firefox\extensions
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content

----------------------------------------------------------------------------------

-- 2010年2月10日更新 --

・実行時、以下の場所に自身をコピーします。

  • %WinDir%\system32\wmimngr.exe

・また、以下のファイルをドロップ(作成)します。

  • %WinDir%\system32\wpmgr.exe

・以下のレジストリキーがシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WAB\Profile5]
  • [HKEY_USERS\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\WAB]
  • [HKEY_USERS\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\WAB\Profile5]

・以下のレジストリ値が追加されます。

  • [HKEY_USERS\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\]
    “Windows Management:” = “C:\WINDOWS\System32\wmimngr.exe”

・上記のレジストリ項目により、再起動のたびに自身を実行するRUN項目を登録します。

・以下の値をレジストリキーに追加して、Windowsのユーザアカウント制御(UAC)を無効にします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\]
    “UACDisableNotify:” = “0x00000001”
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]
    “EnableLUA:” = “ 0x00000000”

・以下の値をレジストリキーに追加して、Windowsファイアウォールで許可されたアプリケーションとして自身を登録します。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
    “C:\WINDOWS\System32\wmimngr.exe:” = "C:\WINDOWS\System32\wmimngr.exe:*:Enabled:Explorer"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
    “C:\WINDOWS\System32\wmimngr.exe:”= "C:\WINDOWS\System32\wmimngr.exe:*:Enabled:Explorer"

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\]
    "Start:" = "0x00000004"
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\]
    "Start:" = "0x00000004"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\]
    "Start:" = "0x00000004"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\]
    "Start:" = "0x00000004"

・上記のレジストリ項目により、Error Reporting Service(ERSvc)およびWindows Security Center Service(wscsvc)を無効にします。また、リモートポート80を介して72.233.[削除].197に接続します。

[%Windir%はWindowsフォルダ(例:C:\WINDOWS)。%Programfiles%はC:\Program Files]

-- 2009年7月1日更新 --

・マイケル・ジャクソンの死の話題を利用した新しい亜種が確認されています。このファイルの名前は「Michael Jackson songs and pictures.doc.exe」です。

・実行時、以下のフォルダに自身をコピーします。

* %WinDir%\system32\jushed.exe
* %WinDir%\system32\java2.exe
* %WinDir%\jvm.exe

・%WinDir%に悪質でないjava.iniファイルを作成します。

・また、以下の場所にルートキットであるGeneric rootkit.d!rootkitDNSChanger.adを作成します。

  • %WinDir%\system32\SKYNET[ランダム].dll
  • %WinDir%\system32\SKYNET[ランダム].dll
  • %WinDir%\system32\SKYNET[ランダム].dat
  • %WinDir%\system32\drivers\SKYNE[ランダム].sys

・システム起動時に自身を起動するため、以下のレジストリ項目を追加します。

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched10 = %WinDir%\system32\jushed.exe
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Audio Services = %WinDir%\jvm.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{151B67MA-E28T-45KF-0O30-8801XS8WIF5J}\StubPath: "%WinDir%\jvm.exe"
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows Audio Services: "%WinDir%\jvm.exe"

・Windowsファイアウォールを回避するため、以下のレジストリ項目を追加します。

  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%WinDir%\System32\jushed.exe = "%WinDir%\System32\jushed.exe:*:Enabled:Explorer"

・また、以下のレジストリ項目を追加します。

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\java6kernel = "07"
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\sun6micro = "01"

・「Whatismyip.com」に接続して、ターゲットのIPアドレスを入手します。

・また、大量メール送信機能が組み込まれており、自身のコピーが添付された電子メールをシステムで収集した電子メールアドレスに送信します。

・また、以下のファイル名を使って、P2Pアプリケーションの共有フォルダに自身をコピーして拡散します。

(一般的に、使われるファイル名は人気のあるアプリケーションとそのクラック/キージェネレータです。)

Absolute Video Converter 6.2.exe
Ad-aware 2009.exe
Adobe Acrobat Reader keygen.exe
Adobe Photoshop CS4 crack.exe
Alcohol 120 v1.9.7.exe
AnyDVD HD v.6.3.1.8 Beta incl crack.exe
Avast 4.8 Professional.exe
AVS video converter6.exe
BitDefender AntiVirus 2009 Keygen.exe
CheckPoint ZoneAlarm And AntiSpy.exe
CleanMyPC Registry Cleaner v6.02.exe
Daemon Tools Pro 4.11.exe
Divx Pro 6.8.0.19 + keymaker.exe
Download Accelerator Plus v8.7.5.exe
Download Boost 2.0.exe
DVD Tools Nero 9 2 6 0.exe
G-Force Platinum v3.7.5.exe
Google Earth Pro 4.2. with Maps and crack.exe
Grand Theft Auto IV (Offline Activation).exe
Internet Download Manager V5.exe
K-Lite codec pack 3.10 full.exe
K-Lite codec pack 4.0 gold.exe
Kaspersky Internet Security 2009 keygen.exe
LimeWire Pro v4.18.3.exe
Magic Video Converter 8 0 2 18.exe
Microsoft Office 2007 Home and Student keygen.exe
Microsoft Visual Studio 2008 KeyGen.exe
Microsoft.Windows 7 Beta1 Build 7000 x86.exe
Motorola, nokia, ericsson mobil phone tools.exe
Myspace theme collection.exe
Nero 9 9.2.6.0 keygen.exe
Norton Anti-Virus 2009 Enterprise Crack.exe
Opera 9.62 International.exe
PDF password remover (works with all acrobat reader).exe
Perfect keylogger family edition with crack.exe
Power ISO v4.2 + keygen axxo.exe
Smart Draw 2008 keygen.exe
Sony Vegas Pro 8 0b Build 219.exe
Sophos antivirus updater bypass.exe
Super Utilities Pro 2009 11.0.exe
Total Commander7 license+keygen.exe
Tuneup Ultilities 2008.exe
Ultimate ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin, Greensleves).exe
Ultimate ring tones package2 (Lil Wayne - Way Of Life,Khia - My Neck My Back Like My Pussy And My Crack,Mario - Let Me Love You,R. Kelly - The Worlds Greatest).exe
Ultimate ring tones package3 (Crazy In Love, U Got It Bad, 50 Cent - P.I.M.P, Jennifer Lopez Feat. Ll Cool J - All I Have, 50 Cent - 21 Question).exe
VmWare keygen.exe
Winamp.Pro.v6.53.PowerPack.Portable+installer.exe
Windows 2008 Enterprise Server VMWare Virtual Machine.exe
Windows XP PRO Corp SP3 valid-key generator.exe
Windows2008 keygen and activator.exe
WinRAR v3.x keygen RaZoR.exe
Youtube Music Downloader 1.0.exe

-- 2009年7月1日更新 --

・実行時、以下の場所に自身のコピーを作成する新しい亜種が確認されました。

  • %WinDir%\system32\jushid.exe
  • %WinDir%\system32\java12.exe
  • %WinDir%\system32\java13.exe
  • %WinDir%\jvm.exe

・また、%WinDir%に悪質でないjava.iniファイルを作成します。

・システム起動時に自身を起動するため、以下のレジストリ項目を追加します。

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched11 = %WinDir%\system32\jushid.exe

・Windowsファイアウォールを回避するため、以下のレジストリ項目を追加します。

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%WinDir%\System32\jushid.exe = "%WinDir%\System32\jushid.exe:*:Enabled:Explorer"

・また、以下のレジストリ項目を追加します。

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\java7kernel = "07"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\sun7micro = "01"

-- 2009年2月27日更新 --

・本日、新しい亜種のスパムでの送信が開始されました。

・実行時、以下のファイル名を使って自身のコピーをドロップ(作成)します。

%WinDir%\system32\java[2つのランダムな文字].exe

・さらに、ランダムなファイル名を使って別のトロイの木馬をドロップし、winlogon.exe、explorer.exeに挿入します。このトロイの木馬はVundo.gen.wという名前で検出されます。

・さらに、ドロップしたDLLを実行するための新しいタスクを以下の場所に作成します。

  • %WinDir%\Tasks\[ランダムなファイル名].job

・システムの起動時にW32/Xirtem@MMをロードするため、以下のレジストリの値が作成されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Sun Java Updater v7.4"
    データ: %WinDir%\system32\java[2つのランダムな文字].exe

・また、以下のセキュリティプロセスを終了します。

  • mcshield.exe

・W32/Xirtem@MMは、autorun.infを使ってリムーバブルメディアを経由して拡散したり、P2Pアプリケーションの共有フォルダに自身をコピーして拡散する大量メール送信型ワームです。

・実行時、ユーザに無害な画像ファイルと思わせるため、以下の画像を表示します。

・その間、「Whatismyip.com」に接続して、ターゲットのIPアドレスを入手します。

・さらに、以下の場所に自身をコピーします。

  • %WinDir%\system32\vxworks.exe
  • %WinDir%\system32\daemon.exe

・複数の実行中のプロセスに自身を挿入します。

・また、以下のファイルをドロップ(作成)します。

  • %WinDir%\system32\qnx.exe
  • %WinDir%\system32\awtustsr.dll
  • %WinDir%\system32\ddcBTLfd.dll
  • %WinDir%\system32\efcDTLEX.dll
  • %WinDir%\system32\kvslgsfk.dll

・一部の亜種はドロップしたDLLを実行するための新しいタスクを以下の場所に作成します。

  • %WinDir%\Tasks\dgzqcscz.job

・一部の亜種はバックグラウンドでIexplore.exeのインスタンスを起動し、インスタンスを利用してキー入力を記録し、以下の場所にあるファイルに保存します。

  • %WinDir%\drm.ocx

・このiexplorer.exeのインスタンスはip-68-226-[削除]-235.tc.ph.cox.netと通信します。

・また、一部の亜種は以下の悪質なdllをダウンロードします。

  • http://www.zylon.net/[非表示]からAPSTPLDR.DLL
  • 82.98.235.65からkb600179.dll

・W32/Xirtem@MMはシステムに接続されているリムーバブルメディアに自身をコピーして拡散し、「autorun.inf」ファイルを作成して、デバイスが接続された別のシステムで自身を実行します。

・また、大量メール送信機能が組み込まれており、自身のコピーが添付された電子メールをシステムで収集した電子メールアドレスに送信します。

・送信する電子メールでは、以下の「件名」、「添付ファイル名」、「差出人のアドレス」の組み合わせが使われます。

電子メールの件名                                              | 添付ファイル名   | 差出人のアドレス
------------------------------------------------------------------------------------
You've received A Hallmark E-Card!                        | postcard.zip       | postcards@hallmark.com
Coca Cola is proud to announce our new Christmas Promotion. | promotion.zip | noreply@coca-cola.com
Mcdonalds wishes you Merry Christmas!                 | coupon.zip        | giveaway@mcdonalds.com

                          

                                    

・一部の亜種はさまざまなポートで以下のサーバへのSMTP接続を行います。

205.134.188.162
211.233.80.119
212.7.64.23
217.167.29.246
64.26.62.254
dom-reg.mediaways.net
fmx.freemail.hu
imas.ahnlab.com
lb.acantho.net
mail.samba.org
mailprot.hilton.com
maxx.shmoo.com
mx.acantho.net
origin.hilton.com
persephone.instanthosting.com.au
relais-ias89.francetelecom.com
www.alinet.it
www.pacbell.net

・また、以下のファイル名を使って、P2Pアプリケーションの共有フォルダに自身をコピーして拡散します。

(一般的に、使われるファイル名は普及しているアプリケーション、パスワードクラッカーやキージェネレータです。)

Absolute Video Converter 6.2.exe
Acker DVD Ripper 2009.exe
Ad-aware 2008.exe
Adobe Acrobat Reader keygen.exe
Adobe Photoshop CS4 crack.exe
Alcohol 120 v1.9.7.exe
BitDefender AntiVirus 2009 Keygen.exe
CleanMyPC Registry Cleaner v6.02.exe
Daemon Tools Pro 4.11.exe
Divx Pro 6.8.0.19 + keymaker.exe
Download Accelerator Plus v8.7.5.exe
Download Boost 2.0.exe
FOOTBALL MANAGER 2009.exe
G-Force Platinum v3.7.5.exe
Google Earth Pro 4.2. with Maps and crack.exe
Half life 3 preview 10 minutes gameplay video.exe
Internet Download Manager V5.exe
Joannas Horde Leveling Guide TBC Woltk.exe
Kaspersky Internet Security 2009 keygen.exe
K-Lite codec pack 4.0 gold.exe
LimeWire Pro v4.18.3.exe
Microsoft Visual Studio 2008 KeyGen.exe
Motorola, nokia, ericsson mobil phone tools.exe
Myspace theme collection.exe
Nero 8 Ultra Edition 8.0.3.0 Full Retail.exe
Norton Anti-Virus 2009 Enterprise Crack.exe
Opera 10 cracked.exe
Password Cracker.exe
Perfect keylogger family edition with crack.exe
Power ISO v4.2 + keygen axxo.exe
Red Alert 3 keygen and trainer.exe
Silkroad Online guides and wallpapers.exe
Smart Draw 2008 keygen.exe
Sophos antivirus updater bypass.exe
Super Utilities Pro 2009 11.0.exe
TCN ISO cable modem hacking tools.exe
TCN ISO SigmaX2 firmware.bin.exe
Tuneup Ultilities 2008.exe
Ultimate ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin, Greensleves).exe
Ultimate ring tones package2 (Lil Wayne - Way Of Life,Khia - My Neck My Back Like My Pussy And My Crack,Mario - Let Me Love You,R. Kelly - The Worlds Greatest).exe
Ultimate ring tones package3 (Crazy In Love, U Got It Bad, 50 Cent - P.I.M.P, Jennifer Lopez Feat. Ll Cool J - All I Have, 50 Cent - 21 Question).exe
Ultimate xxx password generator 2009.exe
VmWare keygen.exe
Winamp.Pro.v6.53.PowerPack.Portable [XmaS edition].exe
Windows 2008 Enterprise Server VMWare Virtual Machine.exe
Windows XP PRO Corp SP3 valid-key generator.exe
WinRAR v3.x keygen RaZoR.exe
Wow WoLTk keygen generator-sfx.exe
xbox360 flashing tools and guide including bricked drive fix.exe
Youtube Music Downloader 1.0.exe

・また、explorer.exeに悪質なコードを挿入し、以下のドメインに接続してバックドアを開きます。

  • web1.ser[削除].org

・バックドアには以下の機能が組み込まれています。

  • コンピュータの再起動、終了
  • サービスの開始、終了
  • キーロガーの起動、終了
  • ファイルのダウンロード、アップロード
  • プロセスの作成、終了、リストアップ
  • ポートスキャンの実行
  • HOSTファイルの改変
  • インスタントメッセンジャーによる自身の拡散
  • 保存されているFirefix、Internet Explorerのパスワードの収集
  • インスタントメッセンジャー(MSN、Yahoo、Miranda、AIM)のアカウント情報の収集

・レジストリの変更は亜種によって異なる可能性があります。

・以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\XMAS
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{77520Q86-864L-N81R-0R2W-7U2G0P22436U}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\XMAS
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtustsr

・システムの起動時にW32/Xirtem@MMをロードするため、以下のレジストリの値が作成されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "QnX"
    データ: %WinDir%\system32\qnx.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "QnX"
    データ: %WinDir%\system32\qnx.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{77520Q86-864L-N81R-0R2W-7U2G0P22436U} "StubPath"
    データ: "%WinDir%\system32\qnx.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Wind River Systems"
    データ: %WinDir%\system32\vxworks.exe

・ペイロードの一部として、以下のレジストリ項目が追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "RunInvalidSignatures"
    データ: no
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper "bsd"
    データ: 03
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper "free"
    データ: 12
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes"
    データ: .zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.bat;.cmd;.pif;.scr;.mov;.mp3;.wav
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Daemon Tools"
    データ: %WinDir%system32\daemon.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "e887a2ae"
    データ: rundll32.exe "%WinDir%system32\kvslgsfk.dll",b

・以下のレジストリキーを追加して、自身をファイアウォールの許可アプリケーションのリストに追加します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List "C:\WINDOWS\system32\vxworks.exe"
    データ: %WinDir%\system32\vxworks.exe:*:Enabled:Explorer
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List "C:\WINDOWS\system32\daemon.exe"
    データ: %WinDir%\system32\daemon.exe:*:Enabled:Explorer

・以下のレジストリの値が改変されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures"
    改変前のデータ: yes
    改変後のデータ: 01, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "ShowSuperHidden"
    改変前のデータ: 00, 00, 00, 00
    改変後のデータ: 01, 00, 00, 00

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • W32/Xirtem@MMによって送信される電子メールにより、TCPポート25でネットワーク活動が見られます。
  • 上記のファイルおよびレジストリ項目が存在します。

TOPへ戻る

感染方法

  • W32/Xirtem@MMは感染システムで電子メールアドレスを収集し、自身のコピーをこれらのアドレスに送信して拡散します。
  • また、リムーバブルメディアに自身をコピーして拡散します。

-- 2010年8月3日更新 --

  • 「Whatismyip.com」に接続して、ターゲットのIPアドレスを入手します。
  • 以下のWebサイトに接続します。
  • sim[削除].com/update.php?sd=2010-04-27&aid=blackout
  • position[削除].com/update.php?sd=2010-04-27&aid=blackout
  • rts[削除].com/update.php?sd=2010-04-27&aid=blackout
  • qul[削除].com/update.php?sd=2010-04-27&aid=blackout
  • contro[削除].com/inst.php?aid=blackout

[注: %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) ,
%AppData% - C:\Documents and Settings\[ユーザ名]\Application Data,
%ProgramFiles% - C:\Program Files]

TOPへ戻る

感染方法

  • W32/Xirtem@MMは感染システムで電子メールアドレスを収集し、自身のコピーをこれらのアドレスに送信して拡散します。
  • また、リムーバブルメディアに自身をコピーして拡散します。

    TOPへ戻る

駆除方法

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。

TOPへ戻る