File Path

  %HOMEPATH%\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3-XXXXXXXXXXXXXXXX.zip

Reference

  TrendMicro - セキュリティ情報 - ウイルスデータベース - HTML_MHTREDIR.U
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML_MHTREDIR.U&VSect=T

レジストリ

  \\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Direct settings
  C:\WINDOWS\System32\sdchost.exe

プロセス

  C:\windows\system32\sdchost.exe
  C:\windows\system32\sdchostc.exe
  C:\windows\system32\sdchosts.exe

タイムスタンプが同じファイル

  タイムスタンプが 2004-11-18 13:51

C:\windows\system32\sdchost.exe
C:\windows\system32\sdchostc.exe	Trojan horse Proxy.8.AW
C:\windows\system32\sdchosts.exe	Trojan horse Proxy.8.AX
C:\windows\system32\system.ing
C:\windows\system32\sorte32.dll	Trojan horse Downloader.Small.10.BV

- 学校の PC で発見
  計836個のファイルに感染．

Reference

  Sophos virus analysis: Troj/Daemoni-I
  http://www.sophos.com/virusinfo/analyses/trojdaemonii.html
  Trendmicro - PE_Parite.A
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE_Parite.A
  Trendmicro - PE_PARITE.A-1
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE_PARITE.A-1

Summary

  Fallen Angel IndustriesのCommandoを実行するとこのウイルスが展開される．

DLL

  C:\WINNT\SYSTEM32\ATPartners.dll

Reference

  Fallen Angel Industries - Commando
  http://www.faind.com/file.asp?id=15

Summary

  感染したコンピュータから音声で話し掛けるWarm
  音声合成エンジンを利用してメッセージを読み上げる．

読み上げるメッセージ

How are you. I am back. My name is mister hamsi. I am seeing you. Haaaaaaaa.
You must come to turkiye. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule.

- 音声データ
  http://www.f-secure.com/weblog/archives/amus.wav

Reference

  日本F-Sevure株式会社 - ウィルス情報 Amus.A
  http://www.f-secure.co.jp/v-descs/v-descs3/amus_a.htm
  Symantec Security Response - W32.Amus.A@mm
  http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.amus.a@mm.html
  マイクロソフト サポート技術情報 - 306902 - [HOW TO] Windows XP での音声合成の構成および使用方法
  http://support.microsoft.com/default.aspx?scid=kb;ja;306902
  Hotwired Japan - 2004-09-14
  http://hotwired.goo.ne.jp/news/news/technology/story/20040914302.html

via

  エルエル - 2004-09-15
  http://10e.org/mt/archives/200409/150305.php

ものすごい量のメールが届いた

  リレーされている訳ではないので安心

Reference

  WORM_MYDOOM.M
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.M

Reference

  CNET Japan - ウイルス誕生20周年，その歴史をふり返る
  http://japan.cnet.com/news/special/story/0,2000047679,20062495,00.htm

研究室の Web 管理者宛にものすごい量の Virus Alert メールが

駆除方法

  1. 以下のレジストリの値を削除
     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
     TrayX = "%Windows%\winppr32.exe /sinc"
     HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
     TrayX = "%Windows%\winppr32.exe /sinc"
  2. 再起動後，AntiVirus ソフトで WORM_SOBIG.F と検出されたファイルを削除
  3. 以下のファイルを削除
     %Windows%\winppr32.exe
     %Windows%\winstt32.dat

Reference

  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F

別名

  W32/Lovsan.worm
  W32.Blaster.Worm
  Lovsan

詳細

  MS03-026のセキュリティホールを利用するworm
  windowsupdate.com に対してDoSアタック
  感染したコンピュータはWindowsが再起動される

対象OS

  Windows NT
  Windows 2000
  Windows XP
  Windows 2003Server

感染確認方法

  Windows のシステムディレクトリに MSBLAST.EXE が作成
  以下のレジストリの値をチェック
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  "windows auto update" = "MSBLAST.EXE"

対処法

  以下のレジストリを削除
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  "windows auto update" = "MSBLAST.EXE"

Reference

  Trendmicro - WORM_MSBLAST.A 概要
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
  Microsoft Product Support Services - 823980 - [MS03-026] RPC インターフェイスのバッファ オーバーランによりコードが実行される
  http://support.microsoft.com/default.aspx?scid=kb;ja;823980