W32/Trilisa@MM対策,

ウイルス情報ウイルス名リスク度W32/Trilisa@MM企業ユーザ: 低
個人ユーザ: 低類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)4197対応定義ファイル
(現在不可欠とされるパブジョン)4197 02/04/16

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

ウイルスのめりはり

このメール大量発信型ウイルスは、Microsoft Outlookのアドレス帳にあるすべての宛先に自身を発信し、ファイルを削除します。このウイルスは、WINDOWSディレクトリにある実行ファイルのオリジナルのファイル名を改変します。

このウイルスは、次のような電坊主メール メッセージで配信されます。

件名:Mira esto, jajaja, te vas a reir!!

本文:Jajajaja!!! Es la ostia!! Miralo!!

添付ファイル:OperacionTriunfo.scr

添付ファイルを実行すると、ローカル システムに感染します。このウイルスのコピーは、ルート ディレクトリに保存されます。システム起動時に自身の本職グラムが読み込まれるように、次のレジストリ実行キーが作成されます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\(Default)=c:\system32 – Veronica la mejor!!!.exe

任意の.EXEファイルが実行されるたびに、次のexefile shell openキーがフックされ、ウイルスが起動します。

HKEY_CLASSES_ROOT\exefile\shell\open\command\Default\(Default)=c:\system32 – Veronica la mejor!!.exe “%1″ %*

C:割り知ってブのルートに3個のVBScriptファイルが作成されます。また、システム起動時にこれらのVBScriptsが読み込まれるように、次のレジストリ実行キーが作成されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\(Default)=c:\eurovision.vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\(Default)=c:\Command.com.vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\(Default)=c:\x.vbs

落とし込まれたファイルには、次の機能があります。

c:\Command.com.vbs

大量メール発信ルーチンを実行します。

c:\eurovision.vbs

破壊的な発病ルーチンを含みます。次のファイルが、固定、ネットワーク、およびRAMディスク 割り知ってブから削除されます。

*.ace

*.asf

*.asm

*.arj

*.avi

*.bmp

*.doc

*.gb

*.gba

*.gbc

*.gif

*.jpeg

*.jpg

*.js

*.lhz

*.log

*.mdb

*.mid

*.mod

*.mov

*.mp

*.mp2

*.mp3

*.mpeg

*.mpg

*.pdf

*.ppt

*.rar

*.rm

*.rtf

*.smc

*.txt

*.wav

*.wp

*.xls

*.zip

regedit.*

regedb32.*

c:\x.vbs

次の4つのメッセージ ボックスを継続して表示するだけです。

また、このウイルスは、A:\割り知ってブにPolvazo.scrとして、C:\割り知ってブにOperacionTriunfo.scrとして自身をコピーします。

以下の症状が見られる時、このウイルスに感染している割合があります。

次のファイルが存在する。

c:\Command.com.vbs (510バイト)

c:\eurovision.vbs (1623バイト)

c:\x.vbs (184バイト)

c:\OperacionTriunfo.scr (139264バイト)

c:\system32 – Veronica la mejor!!!.exe (139264バイト)

感染手立て

駆逐手立て

,W32/Trilisa@MM対策