ウイルス情報

ウイルス名 危険度

W32/Chet@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4222
対応定義ファイル
(現在必要とされるバージョン)
4222 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 11september.exe, W32/Anniv911.A-mm, Win32.Chet (CA), WORM_CHET.A (Trend)
情報掲載日 02/09/11
発見日(米国日付) 02/09/10
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


このウイルスには、4222定義ファイルで対応いたします。4222定義ファイルは02/09/12に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

概要

TOPへ戻る

ウイルスの特徴

  • メディアの注目がある為、危険度を "低 [要注意]" にしました。

  • このウイルスにはバグがあるため、多くのシステムでは機能しません。この大量メール送信型ウイルスは、Windows のアドレス帳(WAB)と Outlook のアドレス帳に登録されているすべての宛先に、次のようなメッセージで自身を送信します。

    差出人main@world.com
    宛先You
    件名All people!!
    本文:
    Dear ladies and gentlemen!

    The given letter does not contain viruses, and is not Spam. We ask you to be in earnest to this letter. As you know America and England have begun bombardment of Iraq, cause of its threat for all the world. It isn't the truth. The real reason is in money laundering and also to cover up traces after acts of terrorism September, 11, 2001. Are real proofs of connection between Bush and Al-Qaeda necessary for you? Please! There is a friendly dialogue between Bin Laden and the secretary of a state security of USA in the given photos. In the following photo you'll see, how FBI discusses how to strike over New York to lose people as much as possible. And the document representing the super confidential agreement between CIA and Al-Qaeda is submitted to your attention. All this circus was specially played to powder brains!! You'll find out the truth. Naked truth, instead of TV showed.
    --------------------------------------------------------------------------------
    For your convenience, and to make letter less, all documentary materials (photos and MS Word documents) are located in one EXE file. Open it, and all materials will be installed on your computer. You will receive the freshest and classified documents automatically from our site. It isn't a virus! You can trust us absolutely. We hope, that it will open your eyes on many things occurring in this world.

    添付ファイル11september.exe

  • 添付ファイルが実行されると、このウイルスは、自身を WINDOWS SYSTEM ディレクトリに SYNCHOST1.EXE としてコピーし、その後オリジナルのファイルを削除します。次の2つのレジストリ キーを作成します。

    • HKEY_CURRENT_USER\DefaultLcid3=2
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ICQ1=%SysDir%\Synchost1.exe

  • このウイルスは、0バイトのファイル boot.txt をルート ディレクトリに保存します。次に、Outlook クライアントにアクセスし、(テストでは)クラッシュしました。システムを再起動すると、Synchost1.exe ファイルが実行され、複数の mail.ru アドレスに通知メッセージが送信されます。

    差出人F**ker
    宛先Ripper
    件名Otchet from usersfirst

    %address book recipients%

  • 次にこのウイルスは、SMTP を使用して、アドレス帳に登録されているすべての受信者に自身を送信します。システム起動時に自身が削除されるように、レジストリ キーを作成します。ただし、"del" コマンドがレジストリを介して呼び出されるときに認識されないため、このアクションは失敗します。

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\Del_Self=del C:\WINDOWS\SYSTEM\SYNCHOST1.EXE

  • DefaultLcid3 キーの値が 1 に設定されます。

    • HKEY_CURRENT_USER\DefaultLcid3=1

  • 次回に SYNCHOST1.EXE が実行されると、このウイルスはモデムにアクセスしようとします。DefaultLcid3 キーの値は 0 に設定されます。

    • HKEY_CURRENT_USER\DefaultLcid3=0

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • Windows System ディレクトリに SYNCHOST1.EXE が存在する。

TOPへ戻る

感染方法

  • このウイルスは、SMTP を使用して、Windows のアドレス帳(WAB)と Outlook のアドレス帳に登録されているすべての宛先に自身を送信する。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る