ウイルス情報

ウイルス名 危険度

W32/Amus.a@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4253
対応定義ファイル
(現在必要とされるバージョン)
4314 (現在7659)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2004/09/14
発見日(米国日付) 2004/09/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2004年9月14日更新
・W32/Amus.a@MMは以下のメディアで注目を集めたため、危険度を「低[要注意]」に引き上げました。

http://news.zdnet.com/2100-1009_22-5363988.html

プロアクティブな検出

・圧縮ファイルのスキャンが有効に設定されている、ウイルス定義ファイル4253(2004年5月19日)以降とエンジン4.2.40を実行しているMcAfee製品では、W32/Amus.a@MMは「ウイルスまたはW32/Generic.a@MMの亜種」として検出されます。

・W32/Amus.a@MMを完全に駆除するには、ウイルス定義ファイル4314(2004年14月1日)が必要です。

・W32/Amus.a@MMは、MAPI、Outlookを使用して、電子メールを介して繁殖します。Windowsアドレス帳(WAB)でアドレスを検索します。

件名: Listen and Smile

本文: Hey. I beg your pardon. You must listen.

添付ファイル: masum.exe

例:

・Windows XPでは、W32/Amus.a@MMはMicrosoft Speechエンジンを呼び出し、以下のメッセージを音声出力します。

  • How are you. I am back. My name is mister hamsi. I am seeing you. Haaaaaaaa. You must come to turkiye. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule.

・メッセージの再生はこちらでダウンロードできます。(72 KB、MP3)

・W32/Amus.a@MMは、システムが起動するたびに実行されるよう、以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Microzoft_Ofiz" = %windir%\KdzEregli.exe

・また、以下のキーも作成します。

  • HKEY_CURRENT_USER\Software\Microsoft\Masum
    "Who" = OnEmLi_DeGiL

・さらに、自身を以下のフォルダにコピーします。

  • C:\Masum.exe
  • C:\WINDOWS\Adapazari.exe
  • C:\WINDOWS\Ankara.exe
  • C:\WINDOWS\Anti_Virus.exe
  • C:\WINDOWS\Cekirge.exe
  • C:\WINDOWS\KdzEregli.exe
  • C:\WINDOWS\Messenger.exe
  • C:\WINDOWS\Meydanbasi.exe
  • C:\WINDOWS\My_Pictures.exe
  • C:\WINDOWS\Pide.exe
  • C:\WINDOWS\Pire.exe

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・Outlookの現行バージョンは、外部アプリケーションがアドレス帳にアクセスし、ユーザに代わって危険な可能性のあるファイルが添付されたメッセージを送信しようとすると、警告を表示します。

TOPへ戻る

感染方法

・W32/Amus.a@MMは電子メールを介して到着します。手動で添付ファイルを実行させるためのセキュリティホールの利用は行いません。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る