メッセンジャーのウイルスについて

記事の最終更新：2008/12/30 15:51　(追記内容は黄色で表示しています)

本日25日からメッセンジャーを介して爆発的に広がっているIMG455.jpg-www.photo.comウイルスについて
foto http://xxx.myspacy.biz/xxxxxxxxx.php?=登録アドレス
という内容のメッセージが、登録されているメンバーから送られてきている方は
ウイルスの危険にさらされている可能性があります。

今回メッセンジャーで流れているウイルスは
トロイの木馬をダウンロードさせるファイルではないかと考えています。
まず入るのはIRCBot.AKX　トロイの木馬でNOD32ではこれを感知していますが、
ウイルスによって別のトロイの木馬をダウンロードしている可能性があります。
なので人によって感知・駆除のできるできない、症状が違う人がいると思われます。

2chにて駆除方法が明らかになりました。
メッセンジャーウイルス感染後にNOD32だけでしかスキャンしていない方は
imgs.exeの駆除はできていても DLL群の駆除はできていない模様。
NOD32で駆除後Windows Live OneCareで3つトロイが見つかったとの報告もあり。

IMG455.jpg-www.photo.comの亜種が出回っている模様？
以前まではimgs.exeがダウンロードされましたが亜種ではmyspace.exeがダウンロードされるようです。
詳しい情報を収集中...

Virustotalで
IMG455.jpg-www.photo.com
IMG455.jpg-www.photo.com(新型)
myspace.exe
spc.exe
InstallAVg_770522156649.exe
awtTjgHy.dll
cbXQgfcb.dll
ewulmrrn.dll
ssqOHYSJ.dll
xxywWpoo.dll
をみて対応されたウイルス対策ソフトが確認できます。
アンチウイルスという項目がソフト名もしくは会社名。
結果という項目が検知した際の識別名。(結果が書き込まれてるものは対応されてるもの)

対応されているソフトでもすべてのウイルスを駆除するのは困難なようです。
バックアップを取っている方、初期化しても問題のない方はバックアップを取り
リカバリやOSの再インストールをおすすめします。
リカバリや再インストールを行えない方は以下の方法をお試しください。

---

・ウィルス名
　IRCBot.AKX　トロイの木馬
　パソコンをのっとるための抜け穴を作るウイルスだそうです。

・感染経路
　Windows Live Messenger
　Skype
　Yahoo Messenger
　ICQ
　他の大手メッセンジャーツール

・特徴
　ノートンやウイルスバスターでは感知できないようです。
　また最近のウイルスはどれもノートンやウイルスバスターで感知できない構造になっているそうです。

・症状
　fxstaller.exe,imgs.exe,ランダムな名前のDLL,を生成。レジストリに登録。
　メッセンジャーを利用してウイルスを拡散します。
　パソコン全体のパフォーマンスが著しく低下もする模様。
　Windowsの自動更新が無効になります。
　スタンバイ状態から勝手に復帰。
　インターネットオプションよりセキュリティレベルのカスタマイズが行われる。　

・感染の有無
　送られてきたメッセージのURLをブラウザで開いた際に、
　ウイルス対策ソフトが反応して停止しなかった場合は感染しています。
　また実行しますかと問われた場合キャンセルをした方は感染していない模様。

・対処法
Windows Live OneCareの方が検知、駆除どちらともこのウイルスに対して優れているようです。
NOD32では初期の段階のものしか駆除できなくなりました。

Windows Live OneCareも駆除ができたと多々報告がありました。
NOD32のスキャン後NOD32をアンインストールし、こちらでもスキャンしてみることをお勧めします。
　1.http://canon-its.jp/product/eset/trial_ess.html
　　こちらのURLからNOD32アンチウイルス体験版をダウンロード。（メールアドレスが必要）
　　デスクトップに保存します。
　2.LANケーブルを抜く、または無線LANをオフにしてパソコンをインターネットや
　　家庭内、オフィスネットワークから切り離し孤立させます。
　3.すでにウイルス対策ソフトが入ってる場合アンインストールします。
　　アンインストールができない方は、ウイルス対策ソフトが起動していましたら終了させてください。
　4.デスクトップに保存したNOD32アンチウイルス体験版をインストールします。
　5.再起動し、メッセンジャー系のソフトウェアが起動している場合はすべて終了します。
　6.パソコンをインターネットに接続するためLANケーブルを再び接続してください。
　7.インストールしたNOD32アンチウイルス体験版を開き、
　　アップデートをしてウイルス定義ファイルを最新の状態にします。
　8.NOD32アンチウイルス体験版よりコンピュータの検査から標準検査を行います。
　9.「Win32/IRCBot.AKX トロイの木馬」が検出され、隔離されたら駆除完了です。

---

自動更新が有効にならない方はウイルスが駆除できていない、
もしくはそれに関係するファイルが残っている可能性があります。

引き続き情報収集をしていますので何かありましたらコメントに書き込みください。

参考：2ch※ウィルス※ Windows Live Messenger で感染!?スレ

続きに駆除方法確立する前の対処法を残しておきます。
確立前の対処法では完全にウイルスを駆除することはできていなかったようです。


リュード

---

※ここから先の方法ではウイルスは駆除できません。

本日2008/12/25からIMG455.jpg-www.photo.comというウイルスが
MSN Messengerに登録しているメンバーから送られてくるという報告がありました。
foto http://www.myspacy.biz/viewimage.php?=登録アドレス
といった形式のメッセージが登録されているメンバーから送られてくるようです。
このURLをクリックするとある実行ファイルをダウンロードするよう要求してきて
このファイルを実行してしまうとMSN Messenger経由で登録しているメンバーへと拡散していきます。
感染したことでWindowsの自動更新やシステムの復元が行えなくなるという報告もありました。

まだウイルスがPCに進入していない方はこのようなメッセージが来てもクリックしないでください。
もしクリックしてダウンロードしてしまった方はMSN Messengerを起動しないでください。
起動してしまうとウイルスが拡散してしまいます。
MSN Messengerをオフライン表示でいるとメッセージが届かないようです。

ダウンロードしてしまった方の対処法ですが、まだ確実な対処法は確認されていません。
アンチウイルスソフトやウイルスバスター等での駆除は感知できないことが多いようです。
まずダウンロードしたファイルを探して削除してください
IMG455.jpg-www.photo.comもしくはIMG455[1].jpg-www.photo.com
という名前のようですのでIMG455という名前でファイルを検索して削除してください
またこのウイルスがパソコンに進入するとfxstaller.exeとimgs.exeの2つの実行ファイルも入ってくるようです
こちらもfxstallerやimgsなどとファイル検索をかけて削除してください

またファイルだけの消去では対処できないらしく、
レジストリからも削除しないといけないようです。
スタート→ファイル名を指定して実行→regeditと入力して実行、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの位置に
Windows Udp Control Center：fxstaller.exeと登録されているはずですのでこちらを削除します。
imgsのレジストリ位置は確認できていません。
fxstallerとimgsをレジストリ検索するといいかもしれません。

他にもいろいろなファイルを生成しているようで、
WINDOWS\system32の中にランダムな名前でDLLファイルをいくつか生成しているようです。
システムドライブを作成日（感染した日）を入力して検索を掛けると
明らかにランダムな名前であろうファイルがありますので削除してください。
ファイルを使用中で削除できませんといったエラーが出ていくつか消せないファイルがあるとおもいますが、
http://systemkaza.web.fc2.com/bin/SRCPY300A.EXEのSRCpy for WIN32ANSI 版というソフトで削除できます。