ウイルスタイプ: ワーム

感染報告の有無 : なし

破壊活動の有無: なし

言語: 英語

プラットフォーム: Windows 98, ME, NT, 2000, XP, Server 2003

暗号化: なし

危険度:

感染報告:

ダメージ度:

感染力:

WORM_ZIMUS.A特 徴:

これは一般的に「ワーム」に分類されるトロイの木馬型不正プログラムです。

* 影響を受けるソフトウェア:
Windows 98, ME, NT, 2000, XP, Server 2003

* 「WORM_ZIMUS.B」の動作は以下のとおりです。
o システムに自身をインストール
o ワーム活動(リムーバブルドライブの利用)
o フォルダの作成
o ファイルの作成
o ファイルの削除

動作の詳細についてはこちらをご覧ください。

* 侵入方法:
o 悪意のあるWebサイトを介して侵入
o ユーザの手動ダウンロードにより侵入
o リムーバブルドライブを介して侵入

* 感染確認方法:
o <Program Files>※内に “Dump” というフォルダを作成
o <Program Files>※\Dump内に “dump.exe” というファイルを作成
o <TEMPフォルダ>※内に “instdrv.exe” というファイルを作成
o <Windowsシステムフォルダ>※\drivers内に “mseu.sys” というファイルを作成
o <Windowsシステムフォルダ>※\drivers内に “mstart.sys” というファイルを作成
o <Windowsシステムフォルダ>※内に “mseus.exe” というファイルを作成
o <Windowsシステムフォルダ>※内に “ainf.inf” というファイルを作成
o <TEMPフォルダ>※内に “Regini.exe” というファイルを作成
o レジストリ値を追加
o レジストリキーを追加
* レジストリの改変:
あり
* セキュリティホールの利用:
なし

WORM_ZIMUS.A参考:

※:<Windowsシステムフォルダ>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows 95/98/Me の場合
<Windowsシステムフォルダ> = C:\Windows\System
Windows NT/2000 の場合
<Windowsシステムフォルダ> = C:\WinNT\System32
Windows XP/Server 2003 の場合
<Windowsシステムフォルダ> = C:\Windows\System32
です。

※:<TEMPフォルダ>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、

Windows95/98/Meの場合、
<TEMPフォルダ>= C:\Windows\Temp
WindowsNTの場合、
<TEMPフォルダ>= C:\Profiles\<ユーザー名>\TEMP
Windows2000の場合、
<TEMPフォルダ>= C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP
WindowsXP/Server 2003 の場合、
<TEMPフォルダ>= C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP
です。

※:<Program Files>フォルダは、標準設定では “C:\Program Files” です。

WORM_ZIMUS.A対応方法:

検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。
製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除できません。 隔離しました。」などと表示されますが正常な表示です。

警告:
以下の手動削除手順には、レジストリの編集が含まれます。
レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
なお、レジストリの編集前に、必ずバックアップを作成することを推奨いたします。バックアップ方法の詳細は、ご使用のWindowsのヘルプまたはこちらをご参照ください。

WORM_ZIMUS.A手動削除手順:

1. このワームのパス名およびファイル名を確認します??
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_ZIMUS.A」で検出したパス名およびファイル名を確認し、メモ等をとってください。ここで確認したパス名およびファイル名を以下の手順で使用します。

2. Windows NT、2000、XP、Server 2003 の場合、以下の方法でWindowsの回復コンソールを使用しマスター??ブート??レコード(MBR)を修復し、ワームの削除を行ってください。
1. Windows 2000 もしくは XP のインストールCDを使用して、コンピュータを再起動します。(Windows NTのインストールCDは使用できません。)
2. [セットアップへようこそ] 画面で、修復の R キーを押します。
3. キーボードを選択します。
4. 修復するWindowsがインストールされているドライブを選択します。(通常は “1″ を選択します)
5. 管理者のパスワードを入力し、Enter キーを押します。管理者パスワードがない場合は、何も入力せずに Enter キーを押します。
6. コマンドプロンプトに、手順1.)で確認したワームが検出されたフォルダ名を入力します。
7. 以下のコマンドを入力し、Enter キーを押します。

fixmbr <感染したドライブ>

※”FIXMBR” と “<感染したドライブ>” の間に半角スペースを入れてください。

※”<感染したドライブ>” とは、このワームが感染したブータブル??ドライブのことです。ドライブが特定できない場合、プライマリ??ブート??ドライブにあるマスター??ブート??レコードが上書きされている可能性があります。
8. コマンドプロンプトに、手順1.)で確認したワームが検出されたフォルダ名を入力します。
9. 以下のコマンドを入力し、Enter キーを押します。

DEL <手順1.)で確認したワームのパス名およびファイル名>

※”DEL” と “<手順1.)で確認したワームのパス名およびファイル名>” の間に半角スペースを入れてください。
10. 手順2-9.)と同様の方法で、手順1.)で確認したワームのファイルをすべて削除してください。
11. コマンドプロンプトに EXIT と入力し、コンピュータを再起動してください。

3. ワームの自動起動設定を削除します。
以下のレジストリキーを削除してください。レジストリキーの削除方法はこちらをご覧ください。

キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog\System\
MSTART

キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Mseu

キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSTART

キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UnzipService

4. ワームが追加したレジストリ値を削除します。
以下のレジストリの値を削除してください。レジストリ値の削除方法はこちらをご覧ください。

場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
値:
Dump = “<Program Files>\Dump\Dump.exe”

5. Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて] を選択)などを使用して、このワームが作成した以下の不要なフォルダを検索し、検出した場合は削除してください。
* <Program Files>※\Dump

6. Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて] を選択)などを使用して、このワームが作成した以下の不要なファイルを検索し、検出した場合は削除してください。
* <Windowsシステムフォルダ>※\ainf.inf

7. ワームが追加した “AUTORUN.INF” を削除します。

1. Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて] を選択)などを使用して、”AUTORUN.INF” を検索し、検出した場合はメモ帳などのテキストファイルを使用して開いてください。

2. 以下の文字列が存在するか確認し、存在する場合はファイルを削除してください。

[autorun]
shellexecute=zipsetup.exe /H

3. 上記の “AUTORUN.INF” が存在するドライブを開き、このINFファイルを削除してください。

8. 最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_ZIMUS.A」と検出したファイルはすべて削除してください。

9. 全ドライブ検索を行い何も検出されなければ、処理は完了です。

註:このワームが削除した以下のファイルは、バックアップやインストーラを使用して復元してください。

* C:\BOOT.INI
* C:\BOOTMGR
* C:\BOOTMGR.BAK
* C:\BOOTSECT
* C:\BOOTSECT.BAK
* C:\Documents and Settings\*.*
* C:\Documents and Settings\Administrator\My Documents\*.*
* C:\HYBERFILE.SYS
* C:\NTDETECT.COM
* C:\NTLDR
* C:\System Volume Information\*.*
* C:\Users\*.*
* C:\Users\Administrator\*.*
* D:\Documents and Settings\*.*
* D:\Documents and Settings\Administrator\My Documents\*.*
* D:\System Volume Information\*.*
* D:\Users\*.*
* D:\Users\Administrator\*.*
* E:\Documents and Settings\*.*
* E:\Documents and Settings\Administrator\My Documents\*.*
* E:\System Volume Information\*.*
* E:\Users\*.*
* E:\Users\Administrator\*.*
* F:\Documents and Settings\*.*
* F:\Documents and Settings\Administrator\My Documents\*.*
* F:\System Volume Information\*.*
* F:\Users\*.*
* F:\Users\Administrator\*.*
* G:\Documents and Settings\*.*
* G:\Documents and Settings\Administrator\My Documents\*.*
* G:\System Volume Information\*.*
* G:\Users\*.*
* G:\Users\Administrator\*.*
* H:\Documents and Settings\*.*
* H:\Documents and Settings\Administrator\My Documents\*.*
* H:\System Volume Information\*.*
* H:\Users\*.*
* H:\Users\Administrator\*.*
* I:\Documents and Settings\*.*
* I:\Documents and Settings\Administrator\My Documents\*.*
* I:\System Volume Information\*.*
* I:\Users\*.*
* I:\Users\Administrator\*.*
* J:\Documents and Settings\*.*
* J:\Documents and Settings\Administrator\My Documents\*.*
* J:\System Volume Information\*.*
* J:\Users\*.*
* J:\Users\Administrator\*.*