W32/Retomo.worm対策,

ウイルス情報ウイルス名リスク度W32/Retomo.worm企業ユーザ: 低
個人ユーザ: 低類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)4656対応定義ファイル
(現在不可欠とされるパブジョン)4656 2005/12/22

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

W32/Retomo.wormはMSN Messengerを介して繁殖します。

現在の内容

W32/Retomo.wormが実行されると、最新のメッセージをWebサーバからダウンロードします。最新のメッセージをコンタクト書き出したの受信者に発信します。発信メッセージの一例は以下のとおりです。

Te mando este cart%26atilde;o como prova de nossa amizade.



Voc%26ecirc; recebeu um WebCard da aol

Existe um presente especial esperando por voc%26ecirc; no site de cart%26otilde;es da aol.

Para receb%26ecirc;-lo, v%26aacute; at%26eacute; o endere%26ccedil;o abaixo no seu navegador:



http://hometown.aol.com/cartoeslove[非表示]/





Clique no link acima para ver o cart%26atilde;o. Voc%26ecirc; vai gostar! Flw.

   Nao deixe de VIsitar WWW.aol.ca[非表示]s.com !!!

このウイルス情報の作成時、hometown.aol.comにホストされていたWebサイトは利用できませんでした。

注:感染を防ぐため、実際のアドレスは非表示にしてあります。

以下の症状が見られる時、このウイルスに感染している割合があります。

以下のWindowsのレジストリキーが存在します。

HKEY_CURRENT_USER\Msn Messenger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\Msn Messenger = “C:\WINDOWS\System32\msnmsnr.exe”

以下のファイルが1つ以上存在します

%SystemRoot%\System32\msnmsnr.exe (W32/Retomo.worm)
%SystemRoot%\log.txt (ログファイル)
%SystemRoot%\RemotoMSN.txt (MSNメッセージを格納)

以下のアプリケーションから、http://[非表示]2005.sites.uol.com.brへのHTTP接続が行われます。

msnmsnr.exe

感染手立て

W32/Retomo.wormはワ―ムをホストしているWebサイトへのハイパーリンクをWindows MessengerまたはMSN Messengerのコンタクト書き出したに記載されている人たちに発信します。

駆逐手立て■AVERTは、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆逐についての補足

,W32/Retomo.worm対策