ウイルス情報

ウイルス名 危険度

W32/Chir@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4208
対応定義ファイル
(現在必要とされるバージョン)
4208 (現在7656)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Runouce (AVP), W32.Chir@mm (NAV), W32/Chir.a@MM, W32/Runouce (C.C. / Vexira), Win32/ChiHack.worm.10748 (Hauri)
亜種 W32/Chir.b@MM
情報掲載日 02/06/13
発見日(米国日付) 02/06/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


概要

TOPへ戻る

ウイルスの特徴

2002年7月31日更新情報
W32/Chir.b@MM という新しい亜種が発見されました。これは、Win32 アプリケーションの感染に成功します。README.EML ファイルを落とし込み、HTML ファイルにその参照を挿入します。これらのHTML ファイルは、定義ファイル4160以降で、W32/Nimda.htm として検出、駆除できます。これは、RUNOUCE.EXE ファイルも落とし込みます。そのファイルは、下記の文字列を含んでいます。

ChineseHacker-2
My god! Some one killed ChineseHacker-2 Monitor

  • このウイルスは、次の2つのメカニズムを介して繁殖するように作成されています:電子メールを介して繁殖(テストでは確認されませんでした)、base64 でエンコードされた自身のコピーをネットワークを通じて作成。

  • このウイルスは、起動すると、%SYSDIR%\RUNOUCE.EXE(RUNONCE.EXEではない)に、システム属性と隠し属性のセットと共に自身をコピーします。

  • システム起動時の自身のプログラムが確実に読み込まれるように、このウイルスは、次のレジストリ キーを追加します。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Runonce" = C:\WINDOWS\SYSTEM\runouce.exe

  • このウイルスは、独自の SMTP エンジンを備えており、その SMTP エンジンは、単一の SMTP サーバを使用してメールを介した繁殖を行うようにハードコードされています。

  • 以前に発見されたウイルスの多くと同様に、このウイルスは Internet Explorer の2つの脆弱性(IFRAME および不適切な MIME ヘッダー)を利用して、(パッチを当てていないシステムで)受信者が電子メールをプレビューすると自身を起動します。これらの脆弱性に関する詳細およびパッチについては、不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)を参照してください。

  • メールを介した繁殖は、テストでは確認されませんでしたが、ウイルス内の文字列には、次のような送信メッセージが存在します。

    差出人(ユーザ名)@hotmail.com または iloveyou@btamail.net.cn
    件名Hi,i am (ユーザ名)
    添付ファイルp.exe

  • また、このウイルスは、ネットワーク ドライブ上のすべてのフォルダに、base64 でエンコードされた自身のコピーを、(コンピュータ名).eml というファイルとして作成しようとします。このウイルスのエンコードされたコピーは、上記の定義ファイルで W32/Chir.eml として検出されます。

  • このウイルスは、下記の文字列を持っています。

    ChineseHacker

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 次のファイルが存在する。
    • %SYSDIR%\RUNOUCE.EXE (10,799バイト)
    • リモート ディレクトリ内に、複数の(コンピュータ名).eml ファイル

TOPへ戻る

感染方法

  • このウイルスは、大量メール送信と、base64 でエンコードされた自身のコピーをネットワークを通じて作成することで繁殖するように意図されている。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る