製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
W32/Chir@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4208
対応定義ファイル
(現在必要とされるバージョン)
4208 (現在7513)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Runouce (AVP), W32.Chir@mm (NAV), W32/Chir.a@MM, W32/Runouce (C.C. / Vexira), Win32/ChiHack.worm.10748 (Hauri)
亜種W32/Chir.b@MM
情報掲載日02/06/13
発見日(米国日付)02/06/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/27RDN/Generic ...
07/27W32/Sdbot.wo...
07/27RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7513
 エンジン:5600
 
ウイルス検索
 




概要TOPに戻る

ウイルスの特徴TOPに戻る
2002年7月31日更新情報
W32/Chir.b@MM という新しい亜種が発見されました。これは、Win32 アプリケーションの感染に成功します。README.EML ファイルを落とし込み、HTML ファイルにその参照を挿入します。これらのHTML ファイルは、定義ファイル4160以降で、W32/Nimda.htm として検出、駆除できます。これは、RUNOUCE.EXE ファイルも落とし込みます。そのファイルは、下記の文字列を含んでいます。

ChineseHacker-2
My god! Some one killed ChineseHacker-2 Monitor

  • このウイルスは、次の2つのメカニズムを介して繁殖するように作成されています:電子メールを介して繁殖(テストでは確認されませんでした)、base64 でエンコードされた自身のコピーをネットワークを通じて作成。

  • このウイルスは、起動すると、%SYSDIR%\RUNOUCE.EXE(RUNONCE.EXEではない)に、システム属性と隠し属性のセットと共に自身をコピーします。

  • システム起動時の自身のプログラムが確実に読み込まれるように、このウイルスは、次のレジストリ キーを追加します。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Runonce" = C:\WINDOWS\SYSTEM\runouce.exe

  • このウイルスは、独自の SMTP エンジンを備えており、その SMTP エンジンは、単一の SMTP サーバを使用してメールを介した繁殖を行うようにハードコードされています。

  • 以前に発見されたウイルスの多くと同様に、このウイルスは Internet Explorer の2つの脆弱性(IFRAME および不適切な MIME ヘッダー)を利用して、(パッチを当てていないシステムで)受信者が電子メールをプレビューすると自身を起動します。これらの脆弱性に関する詳細およびパッチについては、不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)を参照してください。

  • メールを介した繁殖は、テストでは確認されませんでしたが、ウイルス内の文字列には、次のような送信メッセージが存在します。

    差出人(ユーザ名)@hotmail.com または iloveyou@btamail.net.cn
    件名Hi,i am (ユーザ名)
    添付ファイルp.exe

  • また、このウイルスは、ネットワーク ドライブ上のすべてのフォルダに、base64 でエンコードされた自身のコピーを、(コンピュータ名).eml というファイルとして作成しようとします。このウイルスのエンコードされたコピーは、上記の定義ファイルで W32/Chir.eml として検出されます。

  • このウイルスは、下記の文字列を持っています。

    ChineseHacker

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 次のファイルが存在する。
    • %SYSDIR%\RUNOUCE.EXE (10,799バイト)
    • リモート ディレクトリ内に、複数の(コンピュータ名).eml ファイル

感染方法TOPへ戻る
  • このウイルスは、大量メール送信と、base64 でエンコードされた自身のコピーをネットワークを通じて作成することで繁殖するように意図されている。

駆除方法TOPへ戻る
■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足