山田オルタナティブ
ファイル共有ソフトを介して感染するウイルスです。
(情報が少ないので暫定的)

  1. 症状
  2. 確認方法
  3. 駆除方法
  4. アンチウイルス検知状況


1.症状

被害

活動





2.確認方法

まずはコマンドプロンプトを開きます。
そして『netstat -ano』を実行します。
注目するのは、ローカルポートにポート80、1080、8000、8080が使用されているかどうかです。
C:\Documents and Settings\ハマー>netstat -ano

Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       1724
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       904
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       968
  TCP    0.0.0.0:1028           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:5000           0.0.0.0:0              LISTENING       1052
  TCP    0.0.0.0:8080           0.0.0.0:0              LISTENING       1724
  TCP    192.168.11.9:139       0.0.0.0:0              LISTENING       4
  TCP    192.168.11.9:1054      192.168.11.3:139       TIME_WAIT       0
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:1035           *:*                                    1040
  UDP    127.0.0.1:123          *:*                                    968
  UDP    127.0.0.1:1900         *:*                                    1052
  UDP    192.168.11.9:123       *:*                                    968
  UDP    192.168.11.9:137       *:*                                    4
  UDP    192.168.11.9:138       *:*                                    4
  UDP    192.168.11.9:1900      *:*                                    1052

分かりやすいように、文字色を変えてあります。
もしHTTPサーバーを立てていない場合、これらのポートで待ち受けるプロセスは存在しないはずです。


NEGiESを使用することで簡単に調べられます。


上の画像のように設定するだけで、ローカルポート・プロセスID・プロセス名・プロセスパスを一度に知ることができます。





3.駆除方法

タスクマネージャーを起動させます。
WindowsXPの場合、ツールバーの空いたところで右クリックし『タスクマネージャ』を選択するか、Ctrl+Alt+Delキーを押すことで起動します。


『sys.exe』と『update.exe』のプロセスが存在したら停止させます。
プロセスを選択し右クリック→[プロセスの終了]

その後、Program filesフォルダにあるsysフォルダとupdateフォルダを削除します。



レジストリエディタを起動させます。
起動するには、[スタート]→[ファイル名を指定して実行]から『regedit』と入力し[OK]を選択します。

次の2箇所を調べます。
+HKEY_LOCAL_MACHINE
 +Software
  +Microsoft
   +Windows
    +CurrentVersion
     +Run
+HKEY_LOCAL_USER(XPの場合はHKEY_CURRENT_USER)
 +Software
  +Microsoft
   +Windows
    +CurrentVersion
     +Run


値のデータが『"C:\Program Files\update\update.exe"』もしくは『"C:\Program Files\sys\sys.exe"』となっているキーを探します。
発見した場合は削除して下さい。


これらの作業でうまくいかない場合は、セーフモードにて同様のことを試してください。
(セーフモードの起動方法についてはこちらを参考)



これでダメなら…2ちゃんねるのdownload板にある山田ヲチスレに来るか、アンチウイルスベンダが対応するまで待って下さい。




4.アンチウイルス検知状況

アンチウイルスソフト バージョン sys.exe update.exe 検出名
Norton2006 2/25? BackdoorTrojan
Norton2005 2/26 BackdoorTrojan
BitDefender8 Free 最新 Win32.Backdoor
NOD32 ヒューリッスティック NewHeur_PE
F-secure 2006-02-24_05 Backdoor.Win32.Agent.vh/Trojan-Proxy.win32.Agent.iw
ewido 2006/02/27#1737 Backdoor.agent.vh/proxy.Agent.iw
Kaspersky 26-02-2006(Known viruses:178762) Backdoor.Win32.Agent.vh/Backdoor.Win32.Agent.iw
ANTIDOTE SuperLite MAP20060224 × Trojan-Proxy.win32.Agent.iw
AVG 2006/2/24 × Trojan horse Proxy.BIX
AntiVir V6.33.01.29, 02/25/2006 × TR/Proxy.Agent.IW
ウイルスバスター Version: 3.237.00 TROJ_AGENT.AZW
avast!4 バージョン0608-1
マカフィー DAT 4705(2006/02/24)








Topへ戻る