説明

W32.Galil.F@mm は大量メール送信ワームで自身の SMTP エンジンと Microsoft Outlook を利用して拡散します。 電子メールアドレスをユーザの Temporary Internet Files フォルダ, Yahoo Messenger, Microsoft Outlook address book, および以下の拡張子のファイルから収集します。
.asf, .avi, .doc, .jpg, .mdb, .mpe, .mpeg, .mpg, .pps, .ram, .rar, .xls.
当該ワームは [送信者] 欄を偽装します。 電子メールメッセージはランダムに件名およびファイル名が選択されます。
添付ファイルの拡張子は .bhx, .exe, .hqx, .mim, .uu , .uue, .xxe などです。 電子メールの本文は不定です。動作すると以下のような症状が発生します: 偽メッセージを表示します。 フォルダ %Windir%Sys32s を生成し、自身をファイル名 %Windir%Sys32sZaCker.exe 属性を読み取り専用、隠しファイル、システムとしてコピーします。
%System%MizZabbat32.exe として自身をコピーします。以下のファイルを生成します: %System%Syschk.exe: (属性は読み取り専用、隠しファイル、システムです。）＿ ワーム拡散のためのコンポーネントです。) 29,183 bytes
%System%Smtp.Ocx: (SMTP ライブラリです。 このファイルはウイルスではありません。) 25,736 bytes
%System%Runhelp.cab: (ファイル runhelp.inf を含んでいます。これ自体はウイルスではありません。) 6,323 bytes
%Windir%Sys32sRunhelp.cab: (属性は読み取り専用、隠しファイル、システムです）＿ 6,323 bytes
%Windir%WebFolder.htt: (属性は隠しファイル、アーカイブに設定されます。) 15,483 bytes

削除方法

以下のキーを選択してください: HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run 次の値を消去してください:
\\\"SystemChecker\\\"=\\\"%System%Syschk.exe\\\"
次のキーを選択してください:
HKEY_CURRENT_USER それから値 \\\"Cya\\\"を削除してください。
RegRun Startup Optimizer を利用して当該ワームを削除してください。

[RegRun Startup Optimizerを使って]という記述は、Greatis Software社のRegRun製品の一部の機能です。削除のために特に本ツールを使う必要はありません。レジストリエディタ(Regedit)など、Windowsのスタートアップ エントリに登録されたプログラムを削除できるツールを使うことで除去が可能です。または、HijackThis, XRayPCなども同様の機能を提供しています。

MD5チェックサム

最終変更日

2006/02/13 (Mon)