ウイルス情報

ウイルス名

W32/Cholera.worm

危険度
対応定義ファイル 4044 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Cholera, CTX
発見日(米国日付) 99/09/08



新種ウイルスW32/Cholera.wormへの対応のお知らせ<(初出:99/9/20)>

電子メール送付を通じて繁殖する新種ウイルスW32/Cholera.wormが発見されました。なおこのウイルスは日本での被害報告はありません(弊社調べ)。


ウイルス情報

W32/Cholera.wormは電子メール送付を通じて繁殖する32ビットウイルスです。ウイルスを含んだSETUP.EXEをシステムに落としこみます。またW32/CTXウイルスによりシステムに感染します。システム内においては、Windows9xの場合はWIN.INIが、Windows NTの場合はレジストリが改変されます。

このウイルスは電子メールの発動に際し、MAPIを使いません(つまり電子メール・クライアントに依存しません)。このウイルスは拡張子DBX, EML, HTM, HTML, IDX, MBX, NCH, TXT のファイルを調査して、自己送信の宛先となる電子メールアドレスを収集します。さらに内蔵ルーチンを用いて、収集したアドレスに向けて電子メールを送付します。メッセージの本文は、以下のようなスマイルマークのみです。

:)

またレジストリキーからSMTPやドメイン名、ユーザー電子メールアドレスを取得し、メールを送信します。送信メールには"SETUP.EXE"(49,187バイト)が添付されています。このファイルにはInstallShieldのインストール・アイコンが付けられていますが、これはユーザーを騙して、そのファイルを実行させるためのものです。このファイルを実行した場合、以下のような偽のエラーメッセージが表示されます。

"Cannot open file: it does not appear to be a valid archive. If you downloaded this file, try downloading the file again."
(ファイルを開けません。正規のアーカイブではないようです。ダウンロード済みのファイルを起動しようとしている場合は、このファイルを再ダウンロードしてください)。

SETUP.EXEはC++言語で書かれた物で、暗号化されています。ChoreraウイルスはSETUP.EXEの起動後に発動します。まず「ネットワーク全体」を使って書込み可能なリソースをすべて洗い出します。さらに"WINDOWS", "WIN95", "WIN98", "WIN", "WINNT"というフォルダを検索します。(このウイルスはGetWindowsDirectory APIを使っていません。そのAPIはリモートマシンでは機能しないので)。WIN.INIファイルが見つかった場合は、「RUN=」エントリが落としこまれたSETUP.EXEを指すように改変します。Windows NTの場合は、レジストリが同様に改変されます。

SETUP.EXEを落としこまれたマシンが再起動された場合、上記のように、電子メール・メッセージが始動します。最後の挙動として、SETUP.EXEファイルおよび、そのファイルに対するWINI.INI(またはレジストリ)内の参照部分が削除されます。


W32/CTXウイルスについて

Choreraウイルスは、繁殖先となるマシンを検索すると同時に、ローカルシステムのPE実行ファイルにW32/CTXウイルスを感染させます。W32/CTXはポリモルフィック性を有するウイルスです。エントリ・ポイント改変のメカニズムが内包されており、これを用いてオリジナル寄生先ファイルのエントリポイントからウイルス自身へのエントリポイントのジャンプを実現します。感染されたファイルはサイズが101バイト増加します。


検出方法

エンジンバージョン4以上の場合
最新のDATファイルとExtra.DATを組み合わせれば検出が可能です。

Extra.DATのダウンロード
DATファイルのダウンロード


  • 正式DATファイルでは4044で対応いたします
  • エンジンバージョンの見分け方

  • * *: Ver3 DATでは対応していません。

    別名 : Cholera, CTX