米Symantecは、世界的に流行しているウイルス「Mydoom」をアンインストールするウイルス「W32.HLLW.Deadhat(Deadhat)」を発見した。ファイル交換ソフト「Soulseek」で感染を広げる。Symantecでは、危険度を“2”、ダメージと感染力を“中”と評価している。
Deadhatはトロイの木馬型ウイルスで、ファイル交換ソフト「Soulseek」やネットワーク共有ファイル経由で感染を広げるほか、バックドア機能も備えている。特徴は、世界的に感染を広げているMydoomとその亜種「Mydoom.B」をアンインストールする点だ。Soulseekは、海外で広く利用されているファイル共有クライアントで、特にクラブ系音楽の共有が多いという。
Deadhatに感染すると、まずメッセージボックスが開き、「Corrupted File」「Error executing program!」といったメッセージを表示する。その後、Windowsのシステムフォルダに自分自身を「sms.exe」として生成し、レジストリを改変する。これにより、PC起動時には常にDeadhatが起動するようになる。
続いて、Soulseekで共有されているフォルダを探し出し、「Norton.All.Products.KeyMkr.exe」や「WinZip.exe」といったファイル名で自分自身をコピーする。その後、TCP2766番ポートを開き、リモートからの接続を待つほか、ウイルス対策ソフトやファイアウォールソフトで利用するプロセスの終了を試みる。最後に、Mydoomが利用するプロセスの終了や、Mydoomによって改変されたレジストリを修正することにより、Mydoomのアンインストールを試みるという。
万が一感染してしまった場合には、ウイルス対策ソフトの定義ファイルを最新版にアップデートしたのちに「W32.HLLW.Deadhat」として検出したファイルをすべて削除し、レジストリを修正しなければならない。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要があるため、注意が必要だ。
関連情報
■URL
W32.HLLW.Deadhat
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.deadhat.html
・ 件名「hi」や「test」などの新種ウイルス「Mydoom」に注意(2004/01/27)
・ Mydoomを“アップデート”し、SCOとMicrosoftを攻撃する亜種(2004/01/29)
( 大津 心 )
2004/02/09 17:11
- ページの先頭へ-
|