製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス情報

ウイルス名
W32/Cholera.worm
危険度
対応定義ファイル4044 (現在7401)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Cholera, CTX
発見日(米国日付)99/09/08
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 





新種ウイルスW32/Cholera.wormへの対応のお知らせ<(初出:99/9/20)>

電子メール送付を通じて繁殖する新種ウイルスW32/Cholera.wormが発見されました。なおこのウイルスは日本での被害報告はありません(弊社調べ)。


ウイルス情報

W32/Cholera.wormは電子メール送付を通じて繁殖する32ビットウイルスです。ウイルスを含んだSETUP.EXEをシステムに落としこみます。またW32/CTXウイルスによりシステムに感染します。システム内においては、Windows9xの場合はWIN.INIが、Windows NTの場合はレジストリが改変されます。

このウイルスは電子メールの発動に際し、MAPIを使いません(つまり電子メール・クライアントに依存しません)。このウイルスは拡張子DBX, EML, HTM, HTML, IDX, MBX, NCH, TXT のファイルを調査して、自己送信の宛先となる電子メールアドレスを収集します。さらに内蔵ルーチンを用いて、収集したアドレスに向けて電子メールを送付します。メッセージの本文は、以下のようなスマイルマークのみです。

:)

またレジストリキーからSMTPやドメイン名、ユーザー電子メールアドレスを取得し、メールを送信します。送信メールには"SETUP.EXE"(49,187バイト)が添付されています。このファイルにはInstallShieldのインストール・アイコンが付けられていますが、これはユーザーを騙して、そのファイルを実行させるためのものです。このファイルを実行した場合、以下のような偽のエラーメッセージが表示されます。

"Cannot open file: it does not appear to be a valid archive. If you downloaded this file, try downloading the file again."
(ファイルを開けません。正規のアーカイブではないようです。ダウンロード済みのファイルを起動しようとしている場合は、このファイルを再ダウンロードしてください)。

SETUP.EXEはC++言語で書かれた物で、暗号化されています。ChoreraウイルスはSETUP.EXEの起動後に発動します。まず「ネットワーク全体」を使って書込み可能なリソースをすべて洗い出します。さらに"WINDOWS", "WIN95", "WIN98", "WIN", "WINNT"というフォルダを検索します。(このウイルスはGetWindowsDirectory APIを使っていません。そのAPIはリモートマシンでは機能しないので)。WIN.INIファイルが見つかった場合は、「RUN=」エントリが落としこまれたSETUP.EXEを指すように改変します。Windows NTの場合は、レジストリが同様に改変されます。

SETUP.EXEを落としこまれたマシンが再起動された場合、上記のように、電子メール・メッセージが始動します。最後の挙動として、SETUP.EXEファイルおよび、そのファイルに対するWINI.INI(またはレジストリ)内の参照部分が削除されます。


W32/CTXウイルスについて

Choreraウイルスは、繁殖先となるマシンを検索すると同時に、ローカルシステムのPE実行ファイルにW32/CTXウイルスを感染させます。W32/CTXはポリモルフィック性を有するウイルスです。エントリ・ポイント改変のメカニズムが内包されており、これを用いてオリジナル寄生先ファイルのエントリポイントからウイルス自身へのエントリポイントのジャンプを実現します。感染されたファイルはサイズが101バイト増加します。


検出方法

エンジンバージョン4以上の場合
最新のDATファイルとExtra.DATを組み合わせれば検出が可能です。

Extra.DATのダウンロード
DATファイルのダウンロード


  • 正式DATファイルでは4044で対応いたします
  • エンジンバージョンの見分け方

  • * *: Ver3 DATでは対応していません。

    別名 : Cholera, CTX