ウイルス情報

ウイルス名

W32/Choke.c.worm

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4154
対応定義ファイル
(現在必要とされるバージョン)
4154 (現在7628)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Newpic (AVP), TROJ_NEWPIC.A (Trend), W32.Annoying.Worm (NAV), Win32.Annoying (CA), nWorm.JerryMsg.A (AVX)
情報掲載日 01/09/27
発見日(米国日付) 01/08/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

・このウイルスはMicrosoftのMSN Messengerプログラムを通して繁殖します。

・ローカル システムにMSN Messengerがインストールされていない場合、このウイルスは自身のプログラムをインストールしますが、そのローカル システムから繁殖することはありません。

・W32/Choke.c.wormは、MSN Messengerを通して、Visual Basicアプリケーション(ファイル名はPIC1324.EXE)として配信されます。

・このウイルスが起動すると、"Error"というメッセージ ボックスが現れ、"Cannot open file. May be corupted. Replace the file with a new one and try again"と表示されます。

・システム起動時にウイルスが読み込まれるように、次のレジストリ実行キーが作成されます。

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\MSN Messenger="%WormPath%\PIC1324.exe"

・一度起動すると、このウイルスは感染ユーザとチャットしているMSN Messengerユーザに自身を配信します。

・このウイルスは、すべての着信メッセージをモニタします。

・感染マシンが特定の文字を含むメッセージを受信すると、次の文字を含む返信メールで、メッセージの発信者に自身を配信します。

受信メッセージに含まれる文字 返信メッセージに含まれる文字
send there
sure
maybe pweese ? :-)
i guess i hope you like it
ok alright, here ya go
yea alright, here ya go
yes alright, here ya go

・また、発信者にこれらの文字を入力させるために、ウイルスは次のメッセージで応答することがあります。

hey, want me to send my new pic?
i took it yesterday

・このウイルスは、次のテキストを含むC:\Messenger1324\Brain\1Read Me.txtを作成することがあります。

I come in piece. My name is Jerry.
The purpose of me is to spread. I'm not annoying, nor dangerous.

How to remove me:
1) Click Start, select Run. The Run dialog box pops up.
2) Type: msconfig The System Configuration Utility pops up.
3) Click the Startup tab at the top. In the list, find MsgSprd, Messenger, or pic1324, uncheck, press Apply, then press Ok.
4) Restart your computer Or press Ctrl - Alt - Del, select MsgSprd from the list, then press End Task.

You may freely delete the files or the 'C:\Messenger1324' directory.

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

TOPへ戻る