ウイルス情報

ウイルス名 危険度

W32/CHowl@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4251
対応定義ファイル
(現在必要とされるバージョン)
346 (現在7633)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/02/26
発見日(米国日付) 03/02/25
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/CHowl@MMは大量メール送信型ワームで、Visual Basicで作成されています。ヒューリスティックスキャンを実行すると、“New P2P Worm”として検出されます。

・W32/CHowl@MMが実行されると、Windows systemディレクトリに以下のファイル名で自身のコピーを作成します。

  • CyberWolf.exe
  • explorer.exe
  • Kernell32.exe
  • Ms-Dos.com
  • regedit32.exe
  • service.exe
  • system.exe
  • system32.exe
  • systems.exe
  • Windows.scr
  • ・特定のピアツーピア共有ネットワークがインストールされているかを検索して、以下の共有フォルダに自身のコピーを大量に作成します。

  • KaZaa\My shared Folder\
  • Bearshare\Shared\
  • Grokster\My Grokster\
  • Morpheus\My Shared Folder\
  • eDonkey2000\Incoming\
  • limewire\Shared\
  • ・また、Windows systemディレクトリにランダムなファイル名(例:Ad25lzg25de25r2322.dsi、Ad28lzg28de28r2841.exe)で自身のコピーを大量に作成します。

    ・以下のレジストリキーを作成して、Windows起動時に自身を実行します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • "CyberWolf"="C:\WINDOWS\CyberWolf.exe"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • "dllhost"="C:\WINDOWS\SYSTEM\dllhost.exe "
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • "Windows Installer Service"="C:\WINDOWS\SYSTEM\msiexec.exe "
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • "Windows Kernell"="C:\WINDOWS\SYSTEM\Kernell32.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • "Windows Systems Service"="C:\WINDOWS\SYSTEM\service.exe "

    ・次のレジストリキーを改変して、exeファイルの実行をフックします。

  • HKEY_CLASSES_ROOT\exefile\shell\open\command

  • (Default) = "C:\WINDOWS\CyberWolf.exe%1 %* "

    ・次の偽のエラーメッセージを表示します。

    ・“OK”ボタンをクリックすると、Outlookのグローバルアドレスリストおよびコンタクトリストにあるすべての電子メールアドレスに、以下のような電子メールで自身を送信します。

    件名:以下のいずれか

  • w32/CyberWolf@mm is the newest virus...
  • PacketStorm:WINDOWS Xp has several exploits
  • A Virtual joke...the funniest around!
  • A kiss from me to you


  • 添付ファイル:

  • CyberWolf-Patch.exe.
  • Windows Xp Exploit.exe
  • The CyberWolf-Joke.scr
  • My Kiss for you.scr
  • ・電子メールの本文は、件名によって異なります。

    ・W32/CHowl@MMは、Windowsからさまざまなウイルススキャン処理にクエリして、これらの処理を終了させようとします。またテキストファイルを作成し、デスクトップにこのファイルへのリンクを置きます。このテキストファイルは、ウイルス作成者のメッセージを含んでいます。

    ・メモリで多数のワームのインスタンスを起動し、最終的にオペレーションシステムをクラッシュさせます。

    TOPへ戻る

    以下の症状が見られる場合、このウイルスに感染している可能性があります。

    ・上記のファイルとレジストリキーが存在します。

    TOPへ戻る

    感染方法

    ・Outlookを使用したメール送信およびピアツーピアファイル共有を介して繁殖します。

    TOPへ戻る