謎のワーム発見(06/05/10)
仕事柄(知ってる人は知ってますが)、お客様のPCのコンディションチェックやウイルス駆除、セキュリティアドバイスなどもやっています。
*ISP管理者の仕事とはかけ離れてますが、これも顧客サービスの一環です(笑)
最近目立つのが「ウイルス対策ソフトで検知できないワーム」です。
といっても、攻め方が同じなのでよ〜く見てると手動駆除は比較的簡単です。ですが、だんだん手が込んできているのも事実です。
今日も新手のワームを発見しました。
まだ、海外の一部の掲示板でワームか?といわれているようなので、参考資料程度に症状を記載しておきます。
ファイル名:svchost.exe
ファイルサイズ:22,885 バイト
ファイル場所:c:\windows\mapping
いずれも隠し属性&システム属性がかけられている。
====================================
レジストリが以下の部分で改変
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
この部分を
"Shell"="Explorer.exe c:\windows\mapping\svchost.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,c:\windows\mapping\svchost.exe"
というように改変、バックグラウンドで起動するように設定します。
------------------------------------
さらに、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunにMicrosoft (R) Windows Connection Mapping Serviceという名称で登録PCの起動時に自動起動するよう設定する。
------------------------------------
また、Windows Connection Mapping Service (cmapsvc)という名称でサービスに登録、自動起動するよう設定する
サービスの説明:
Maps network connections to the Windows API. Stopping or disabling this service will result in system instability.
症状は不明ですが、botプログラムの一種だと推察されます。
SARCに提出しておきましたので、サンプル数が多ければそのうち上がってくるものと思われます。
とりあえずご注意を・・・・
参考:
海外の掲示板の記事:
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/trojan_et_spywares/infection_virus_-399261/messages-1.html
