ウイルス情報

ウイルス名 危険度

W32/Anzae.worm.c

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4410
対応定義ファイル
(現在必要とされるバージョン)
4410 (現在7628)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2004/11/25
発見日(米国日付) 2004/11/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2004年11月24日更新

http://www.webuser.co.uk/news/59666.htmlで注目されたため、危険度を[低(要注意)]に変更しました。


・W32/Anzae.worm.cはFSG圧縮プログラムで圧縮された大量メール送信型ワームです。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • メッセージの差出人のアドレスを偽装します。
  • ZIP圧縮ファイルが添付されている場合があります。
  • 自身をC、D、E、Fドライブにコピーします。
  • ファイルを削除します。
  • リモートWebサイトからDLLをダウンロードしようとします。
電子メールを介した繁殖

・詳細は以下のとおりです。

件名:
  • re:Crees que puede ser verdad?
  • re:Amor verdadero
  • re:xD no me lo puedo creer!!
  • re:Dejate de rollos y viv
  • re:Psicolog
  • re:Neptuno y Mercurio
  • re:La Luna
  • re:Voodoo un tanto ps...
  • re:Eso con queso rima con...xD
  • re:Como el aire...
本文:
  • No veas que cosas xD,luego me cuentas,chao.
  • Crees en el amor de verdad?,miralo y ya hablamos,ciaooo
  • Ver es creer!!!!chaoo.
  • Mira lo que te mando y ya vers que los detalles mas peque os son los que importan,ciaoo
  • Test para ver si andas bien de las neuronassss!xD,luego hablamos,chao.
  • Que relaci n tienen estos planetas?,miralo y luego me cuentas,chao.
  • Esa moribunda y solitaria Luna,Impresionante!chao.
  • cierta la magia negra?,sal de dudas y ya me cuentas,chao.
  • Renvalo a todo que es que se meannn xD,nos vemos!
  • No comment,xDD ,Nos vemos!!
添付ファイル:(以下のいずれか)
  • gnito.zip
  • Love-Me.zip
  • EL_rechazo.zip
  • My life(Mi vida).zip
  • quico-Mix.zip
  • Planetario.zip
  • Moon(Luna).zip
  • Voodoo!.zip
  • Rimaz.zip
  • Para-Brisas.zip

・W32/Anzae.worm.cは、以下のファイル名でWindowsのシステムディレクトリに自身をコピーします。

  • COMMAND.PIF.
  • SVCHOL.PIF
  • PAULA.PIF

・以下のレジストリキーが追加されてシステム起動時にフックされます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Messenger6" = C:\Winnt\System32\COMMAND.PIF
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "svchost" = C:\Winnt\System32\SVCHOSL.PIF

・%Sysdir%フォルダにドロップ(作成)されるその他のファイルは以下のとおりです。

  • C:\Winnt\System32\SW.EXE - 電子メールを介した繁殖が可能なルーチンが組み込まれています。
  • C:\Winnt\System32\SX.EXE - 電子メールを介した繁殖が可能なルーチンが組み込まれています。
  • C:\Winnt\System32\SZ.EXE - 電子メールを介した繁殖が可能なルーチンが組み込まれています。
  • C:\Winnt\System32\SS.EXE - 音の出るジョークファイルです。(Joke-Beeperとして検出されます。)
  • C:\Winnt\System32\M.ZIP - W32/Anzae.worm.cのコピーが格納されています。
削除

・また、W32/Anzae.worm.cはC、D、E、Fドライブから以下の拡張子を持つファイルを削除します。

  • ASM
  • ASP
  • BDSPROJ
  • BMP
  • CPP
  • CS
  • CSPROJ
  • CSS
  • DOC
  • DPR
  • FRM
  • GIF
  • HTM
  • HTML
  • JPEG
  • JPG
  • MDB
  • MP3
  • NFM
  • NRG
  • PAS
  • PCX
  • PDF
  • PHP
  • PPT
  • RAR
  • RC
  • RC2
  • REG
  • RESX
  • RPT
  • SLN
  • TXT
  • VB
  • VBP
  • VBPROJ
  • WAV
  • XLS

・また、W32/Anzae.worm.cはリモートWebサイトからMicrosoft VIsual Basicランタイムライブラリ(msvbvm60.dll)をダウンロードしようとします。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Anzae.worm.cが格納されているファイルが実行されると、以下のテキストメッセージが表示されます。

  • 上記のファイル/レジストリキーが存在します。
  • ファイルが削除されています。

TOPへ戻る

感染方法

・W32/Anzae.worm.cは、自身のSMTPエンジンを使用してメッセージを作成します。ターゲットマシンの以下の拡張子を持つファイルから、ターゲットになる電子メールアドレスを収集します。

・[差出人]フィールドから収集したアドレスを使用して、送信者のアドレスを偽装します。

・以下のファイル名を使用して、自身をC:、D:、E:、F:ドライブにコピーします。

inzae.pif
extasis8.pif
rd2_roberto.pif
ph003.pif
simbolic3.pif
sin_mas_menos.pif

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る