ウイルス情報

ウイルス名 危険度

W32/Anzae.worm.a

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4410
対応定義ファイル
(現在必要とされるバージョン)
4410 (現在7656)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2004/11/24
発見日(米国日付) 2004/11/19
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Anzae.worm.aはMSVBで作成された大量メール送信型ワームです。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • メッセージの差出人のアドレスを偽装します。
  • ZIP圧縮ファイルが添付されている場合があります。
  • 自身をC、D、E、Fドライブにコピーします。
  • ファイルを削除します。
電子メールを介した繁殖

・詳細は以下のとおりです。

件名:
  • re:Crees que puede ser verdad?
  • re:Amor verdadero
  • re:xD no me lo puedo creer!!
  • re:Dejate de rollos y viv
  • re:Psicolog
  • re:Neptuno y Mercurio
  • re:La Luna
  • re:Voodoo un tanto ps...
  • re:Eso con queso rima con...xD
  • re:Como el aire...
本文:
  • No veas que cosas xD,luego me cuentas,chao.
  • Crees en el amor de verdad?,miralo y ya hablamos,ciaooo
  • Ver es creer!!!!chaoo.
  • Mira lo que te mando y ya vers que los detalles mas peque os son los que importan,ciaoo
  • Test para ver si andas bien de las neuronassss!xD,luego hablamos,chao.
  • Que relaci n tienen estos planetas?,miralo y luego me cuentas,chao.
  • Esa moribunda y solitaria Luna,Impresionante!chao.
  • cierta la magia negra?,sal de dudas y ya me cuentas,chao.
  • Renvalo a todo que es que se meannn xD,nos vemos!
  • No comment,xDD ,Nos vemos!!
添付ファイル:(以下のいずれか)
  • gnito.zip
  • Love-Me.zip
  • EL_rechazo.zip
  • My life(Mi vida).zip
  • quico-Mix.zip
  • Planetario.zip
  • Moon(Luna).zip
  • Voodoo!.zip
  • Rimaz.zip
  • Para-Brisas.zip

・W32/Anzae.worm.aはSVCHOSL.PIFというファイル名でWindowsのシステムディレクトリに自身をコピーします。

C:\WINNT\SYSTEM32\SVCHOSL.PIF

・以下のレジストリキーを追加して、システム起動時にフックします。

HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "svchost" = C:\Winnt\System32\SVCHOSL.PIF

・%Sysdir%フォルダにドロップ(作成)されるその他のファイルは以下のとおりです。

C:\Winnt\System32\SW.EXE - 電子メールを介した繁殖が可能なルーチンが組み込まれています。 C:\Winnt\System32\SX.EXE - 電子メールを介した繁殖が可能なルーチンが組み込まれています。 C:\Winnt\System32\SZ.EXE - 電子メールを介した繁殖が可能なルーチンが組み込まれています。 C:\Winnt\System32\M.ZIP - W32/Anzae.worm.aのコピーが格納されています。 C:\Winnt\System32\INZAX.EXE - ダイアログが格納されています。

・また、W32/Anzae.worm.aは以下の拡張子を持つファイルを削除します。

  • ASM
  • ASP
  • BDSPROJ
  • BMP
  • CPP
  • CS
  • CSPROJ
  • CSS
  • DOC
  • DPR
  • FRM
  • GIF
  • HTM
  • HTML
  • JPEG
  • JPG
  • MDB
  • MP3
  • NFM
  • NRG
  • PAS
  • PCX
  • PDF
  • PHP
  • PPT
  • RC
  • RC2
  • REG
  • RESX
  • RPT
  • SLN
  • TXT
  • VB
  • VBP
  • VBPROJ
  • WAV
  • XLS

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Anzae.worm.aが実行されると、以下のスペイン語のテキストメッセージが表示されます。

















・上記のようなファイルとレジストリキーが存在します。

TOPへ戻る

感染方法

・W32/Anzae.worm.aは、自身のSMTPエンジンを使用してメッセージを作成します。ターゲットマシンの以下の拡張子を持つファイルから、ターゲットになる電子メールアドレスを収集します。

・[差出人]フィールドから収集したアドレスを使用して、送信者のアドレスを偽装します。

・以下のファイル名を使用して、自身をC:、D:、E:、F:ドライブにコピーします。

  • inzae.pif
  • extasis8.pif
  • rd2_roberto.pif
  • ph003.pif
  • simbolic3.pif
  • sin_mas_menos.pif

TOPへ戻る

駆除方法

このウイルスには、4410定義ファイルで対応いたします。4410定義ファイルは04/11/24に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

Windows ME/XPでの駆除についての補足

TOPへ戻る