製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
W32/Cayam.worm!p2p
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4267
対応定義ファイル
(現在必要とされるバージョン)
4267 (現在7548)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.HLLW.Cayam@mm (Symantec):WORM_CAYAM.A (Trend)
情報掲載日03/12/19
発見日(米国日付)03/12/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/31PWS-Mmorpg.g...
08/31Generic.tfr!...
08/31PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7548
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--2003年12月18日更新情報--

・W32/Cayam.worm!p2pは以下のメディアの注目を集めたので、危険度を“低〔要注意〕”にしました。


・W32/Cayam.worm!p2pは、電子メールとファイル共有ネットワークを介して繁殖します。 MSVBで作成されており、UPXで圧縮されています。このワームの特徴は、以下のとおりです。

  • Outlookのアドレス帳に登録されている宛先に(Outlookで)自身を送信
  • ピアツーピアファイル共有ネットワーク(KaZaaでは、MAYACRACK.EXE、eMuleでは3DSMAXCRACK.EXE というファイル名)で、自身を共有
  • eBayの偽の情報確認画面を表示してユーザ情報の取得を試み、フォームに入力されたデータをHTTP(ポート80)で送信

総称による検出

・4.2.40以降のエンジンで定義ファイル4267以降を使用すると、W32/Cayam.worm!p2pはW32/Generic.worm!p2pとして検出されます。

電子メールを介した繁殖

・W32/Cayam.worm!p2pは、Microsoft Outlookのアドレス帳に登録されている宛先にMicrosoft Outlookで自身を送信します。以下のような電子メールを送信します。

件名:Verify your eBay account information

本文:
Dear Ebay user,
Dear valued eBay member, It has come to our attention that your eBay Billing Information records are out of date.That requires you to update the Billing Information If you could please take 5-10 minutes out of your online experience and update your billing records, you will not run into any future problems with eBay's online service.However, failure to update your records will result in account termination.Please update your records in maximum 24 hours.Once you have updated your account records, your eBay session will not be interrupted and will continue as normal.Failure to update will result in cancellation of service, Terms of Service (TOS) violations or future billing problems.

Please open attachment to update your billing records.

Thank you for your time!
Marry Kimmel,

添付ファイル:eBayVerify.exe

ピアツーピアを介した繁殖

・W32/Cayam.worm!p2pは、KaZaa、およびeMuleピアツーピアファイル共有ネットワークを介して繁殖するために以下のように自身をコピーします。

  • c:\Program Files\KazAa\My Shared Folder\Mayacrack.exe
  • c:\Program Files\eMule\Incoming\3dsmaxcrack.exe

データ詐取

・W32/Cayam.worm!p2pは、eBayの偽の情報確認画面を表示してユーザをだまそうとします。ユーザは、名前、住所、社会保障番号、クレジットカード情報などを入力して、口座情報を確認するように指示されます。情報を収集すると、HTTP(ポート80)で送信し、以下のリモートサーバのスクリプトで処理します。

  • www.csk2.com

・以下のようなeBayの偽のログオン画面を最初に表示します。

・ユーザがサインインすると、クレジットカードや銀行の詳細情報などを収集するように作成された大きいフォームを表示します。

・上記のフォームが送信されると、偽の確認終了メッセージを表示します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・「ウイルスの特徴」で説明されたレジストリキーとファイルが存在します。

・Kazaaファイル共有に、Mayacrack.exeという名前のファイルがドロップ(作成)されます。

・eMuleファイル共有に、3dsmaxcrack.exeという名前のファイルがドロップ(作成)されます。

感染方法TOPへ戻る

・W32/Cayam.worm!p2pは電子メールの添付ファイルで届く、またはピアツーピアファイル共有ネットワークからダウンロードされます。

・ユーザがW32/Cayam.worm!p2pを実行すると、ターゲットマシンに自身をインストールします。

  • C:\WINDOWS\MSFIND32.EXE
  • C:\EBAYVERIFY.EXE
    (C:\WINDOWS\は、ワームにハードコード化されています。%WinDir%は使用しません。)

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Run "MSFind32" = C:\WINDOWS\MSFIND32.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \RunOnce "MSFind32" = C:\WINDOWS\MSFIND32.EXE

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足