W32/Winemmem対策,

ウイルス情報ウイルス名リスク度W32/Winemmem企業ユーザ: 低
個人ユーザ: 低類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)5576対応定義ファイル
(現在不可欠とされるパブジョン)5576 2009/04/04

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

W32/Winemmemは背景ドア機能を有するファイル感染型ウイルスです。

ウイルスのめりはり

W32/Winemmemはパッケージ、インストーラ、自己解凍型の圧縮ファイルに感染します。オリジナルのアプリケーションのコードセクションを書き換え、ランダムなサイズのコードのブロックをコードセクション、OEPの先鶏冠からファイルの万事休すに移動して、エキストラデータのサイズを増やします。新しいセクションを作成したり、PEヘッダを改変したりすることはありません。感染ファイルの実行時にシステムを操作するため、エントリポイントにあるオリジナルのコードを書き換えます。

実行時、カレント過程の以下のAPIにフックします。

CreateFileA

ExitProcess

ExitWindowsEx

– 2009年4月7昼間の時間書き換え –

感染すると、W32/WinemmemはCreateFileA() APIにフックします。W32/Winemmemはシステムを操作し、Program FilesフォルダのWindows PE実行ファイルを検索します。さらに、インポート食卓を解析し、実行ファイルに関連するシステム躍動感のあるリンクライブラリを検索します。次に、見つかったDLLを見つかったEXEファイルと同じフォルダにコピーし、エントリポイントのコードを改変し、ウイルス本体を最後のセクションの万事休すに付加して、コピーしたDLLに感染します。これにより、感染したEXEファイルが実行されるたびに悪気のあるコードが実行されるようにします。

実行時、W32/WinemmemはCreateFileA() APIにフックし、感染したアプリケーションが初っ端にこのAPIを呼び出したときに悪質な活動を実行します。また、割り知ってブ全体で感染可能な実行ファイルを検索することにより、リムーバブル割り知ってブのファイルに感染し、[削除].c0m.stからリモートファイルをダウンロードし実行する割合があります。

改変されたシステムライブラリもW32/Winemmemという名前で検出されます。

以下の症状が見られる時、このウイルスに感染している割合があります。

実行ファイルが改変されます。

感染手立て

W32/Winemmemはファイル感染型ウイルスです。バイナリファイルを手動で実行すると、感染が開始されます。乗っ取ったマシンからアクセスされたネットワーク共有の実行ファイルも感染する割合があります。

駆逐手立て■現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足


,W32/Winemmem対策