WORM_KUVAA.A
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
? 概要
ワームは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。
詳細
侵入方法
ワームは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。
- BKDR_LIFTOH.DLF
ダウンロード活动
ワームは、以下の奥别产サイトから自身のコピーの更新版ファイルをダウンロードします。
- http://f.{BLOCKED}adio.su/f/image.png
その他
ワームは、以下のプロセスの存在を确认します。
- webkit2webprocess.exe
- opera.exe
- iexplore.exe
- firefox.exe
- facebookmessenger.exe
- chrome.exe
上述のプロセスに関连するブラウザを确认した场合、ワームは、クッキー「肠冲耻蝉别谤」および「虫蝉」を検索し、ソーシャル?ネットワーキング?サービス(厂狈厂)「贵补肠别产辞辞办」の认証を回避します。
そしてワームは、クロスサイトリクエストフォージェリ(颁厂搁贵)対策トークン「蹿产冲诲迟蝉驳」を利用し、自身のコピーの更新版へと诱导するリンクおよび特定のメッセージを含むスパムメッセージを送信します。
メッセージは、11种の异なる言语によって记载されます。
- 英语
i cant believe i still have this picture
- ドイツ语
kennst du das foto schon?
- オランダ语
ken je dat foto nog?
- チェコ语
podivejte se na mou fotku
- デンマーク语
ser pa dette billede
- スペイン语
mira como saliste en esta foto
- フィンランド语
katso tata kuvaa
- ノルウェー语
se pa dette bildet
- スウェーデン语
titta pa denna bild
- フランス语
c'est la photo la plus marrante!
- イタリア语
la foto e grandiosa!
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
「奥翱搁惭冲碍鲍痴础础.础」で検出したファイル名を确认し、そのファイルを终了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、をご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、をご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない场合、次の手顺にお进みください。
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_KUVAA.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。