製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
W32/Colevo@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4274
対応定義ファイル
(現在必要とされるバージョン)
4277 (現在7509)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/07/01
発見日(米国日付)03/06/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/23RDN/Generic....
07/23RDN/Generic....
07/23FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7509
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・2003年7月8日更新情報

個人ユーザに対する危険度を、低[要注意]に下げました。


・W32/Colevo@MM は大量メール送信型ワームで、MSNメッセンジャーへ問合わせるアドレスを取得します。

・このワームはインターネットエクスプローラーを立ち上げます。そして以下のような様々なサイトに接続し、ボリビアのアイマラ族のリーダーEvo Moralesの画像を表示します。

・http://jeremybigwood.net
・http://news.bbc.co.uk
・http://www.commondreams.org/headlines/images/100700-01.jpg
・http://www-ni.laprensa.com.ni
・http://www.soc.uu.se
・http://www.cannabisculture.com
・http://www.chilevive.cl
・http://membres.lycos.fr
・http://news.bbc.co.uk
・http://www.movimientos.org

・ワームが起動すると、%WINDIR% ディレクトリに以下のようなファイル名でワーム自身をコピーします。

・All Users.exe
・command.exe
・Hot Girl.scr
・hotmailpass.exe
・Inf.exe
・Internet Download.exe
・Internet File.exe
・Part Hard Disk.exe
・Shell.exe
・system.exe
・system32.exe
・system64.pif
・Temp.exe

(%WINDIR% ディレクトリ= C:\WINDOWS または C:\WINNT)

・ワームは%SYSDIR% に以下のファイル名を使用してワーム自身をコピーします。

・Inf.exe
・net.com
・www.microsoft.com

(%SYSDIR% = C:\WINDOWS\SYSTEM32 または C:\WINNT\SYSTEM32)

大量メール送信コンポーネント

・ウイルスに含まれている文字列は、ホットメールのSMTPサーバに接続し、MSNメッセンジャーのキャッシュ内にある接続先に自身を送信します。 Eメールは以下のようなフォーマットで届きます。

件名:El adelanto de matrix ta gueno!!
本文:Pablo_Hack
Oye te U paso el programa para entrar a cuentas del messenger, y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?Respondeme que tal te parecio. chau?
添付ファイル:hotmailpass.exe

バックドアコンポーネント

・また、このウイルスはハッカーがリモートでマシンを操作できるように、感染マシンのいくつかのTCPポートを開けたままにしておきます。現在のところ、開かれるポートナンバーは、1168, 1169, 1170, 2536が確認されています。.

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルが存在する。上記ファイルがウィンドウズ起動時にウイルス自身をロードするために、以下のレジストリキーを作成します。

・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "System"=%WinDir%\system.exe
・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4 "System"=%WinDir%\system.exe
・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunSevices "System"=%WinDir%\system.exe
・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunSevicesOnce "System"=%WinDir%\temp.exe
・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "System"=%WinDir%\system.exe
・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4 "System"=%WinDir%\temp.exe
・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSevices "System"=%WinDir%\commands.com

・ウイルスは、関連するファイルが解凍された時は常に実行するように以下のレジストリキーを修正します。

・HKEY_CLASSES_ROOT\exefile "NeverShowExt"=(Hides the file extension of executables)
・HKEY_CLASSES_ROOT\batfile\shell\open\command "(Default)" = "%WinDir%\temp.exe", "%1" %*
・HKEY_CLASSES_ROOT\comfile\shell\open\command"(Default)" = "%WinDir\Inf.exe", "%1" %*
・HKEY_CLASSES_ROOT\exefile\shell\open\command"(Default)" = "%WinDir%\command.exe", "%1" %*
・HKEY_CLASSES_ROOT\htafile\Shell\Open\Command"(Default)" = "%WinDir%"\commands.com", "%1" %*
・HKEY_CLASSES_ROOT\piffile\shell\open\command"(Default)" = "%WinDir%\commands.com", "%1" %*

・注意:AVERTによるテスト時には、COMMANDS.COM ファイルはシステムに落とし込まれませんでした。そのため、このファイルに関連するレジストリーフックはワームが立ち上がる時には使われていませんでした。

・system.iniファイルがシステム起動時にワームをロードするように修正されます。

・[boot] "Shell" = explorer.exe temp.exe

・win.ini ファイルに以下のキーが追加されます。

・[windows] "load" =archivo.exe
・[windows] "run"= archivo.exe

・AVERTによるテストでは、複数のキーと一緒にwin.ini、system.iniファイルをロードする代わりに 上記のキーは複数回(再起動時)追加されました。

・以下のキーが削除されます。

・[windows] "NullPort"

・WIN.INI ファイルに以下のコメントが挿入されます。

・####Viva el EVO, y jamas erradicaran la Coca Cola!!! mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####

感染方法TOPへ戻る

・ウイルスはEメールメッセージで受信され、このメールを実行するとウイルスに感染します。

・ウイルスはウィンドウズ環境内のフォルダに関連するアイコンとほとんど同じアイコンを使用します。そのため、ユーザがうっかりウイルスを実行してしまう可能性が増します。

駆除方法TOPへ戻る

・4274ウイルス定義ファイルで検出・除去できます。