製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
W32/Cone.f@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4342
対応定義ファイル
(現在必要とされるバージョン)
4342 (現在7565)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Cone.f (AVP): W32/Cone-F (Sophos): W32/Cone.E.worm (Panda): W32/Cone.G (F-Prot)
情報掲載日04/03/26
発見日(米国日付)04/03/22
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Cone.f@MMは、メディアの注目を集めたので、危険度を“低〔要注意〕”にしました。

・この情報掲載の時点では、AVERTは一般からこのウイルスのサンプルを受け取っていません。

・W32/Cone.f@MMは大量メール送信型ワームで、Webサイト(www.irna.com)を無効にしようと試みます。

電子メールを介した繁殖

・W32/Cone.f@MMは、base64でエンコードされた添付ファイルおよび以下の情報を含むメールで自身を送信します。

差出人:偽造された名前で、以下の文字列を含みます。

  • antivirus
  • management
  • admininstration
  • virus-detection
  • AV
  • support
  • staff

件名:(以下のいずれか)

  • your help file attached
  • W32.Mydoom.H in your mail
  • Your computer is probably infected by W32.Mydoom.H
  • Norton Antivirus detected W32.Mydoom.H in your mail
  • Large amount of W32.Mydoom.H outgoing from your email
  • Virus detected in your mail
  • Your computer is infected by W32.Mydoom.H
  • Your computer is probably infected
  • Your message was infected by Mydoom
  • I found a virus in your message
  • I recieved a message from you containing Mydoom
  • Mydoom.H in attachment of your message

本文:(以下のいずれか)

  • your help file attached
  • Hi, The attachment is a virus. I write it to say: we don't want Islamic Republic in IRAN! I'm realy realy sorry, I'm damaging the computers that I don't want to damage!!!! I choose to help a nation to be free with cost of some computer infections!!! Do you choose this if you must choose one? all of the other ways closed, no one listen to us!!!! please support me, open the virus and let it spread, it does not have any damage, just your internet connection may become some slow! for more info search "W32.Cone.E".
  • Dear users of %domain% ,
    Our antivirus software has detected a large amount of viruses outgoing from your email account (%email address% ), you may use our removal instruction to clean up your computer software.
  • Dear users of %domain% ,
    Norton Antivirus has detected about %random number% e-mail(s) infected by W32.Mydoom.H outgoing from your mail account(%email address% ). W32.Mydoom.H is a category 4 virus and Norton Antivirus 2004 is updated automatically for removal instructions of cat 4 and 5 viruses, and then send them for infected computers to prevent more infections. your computer is infected by mydoom.H, because i recieved more than 20 messages containing mydoom.H from you i attached help file of removal instructions of this virus, please cleanup your computer, before connecting to internet!
  • hey, i'm tired of deleting emails infected by Mydoom.H from you, i attached the symantec removal instructions help file for Mydoom.H please cleanup your computer, or do not connect to internet.
  • Cleanup your computer, i have recieved more than 20 message infected by Mydoom.H from you, i attached the symantec removal instructions help file for W32.Mydoom.H
  • hi, i have recieved an email from you infected by W32.Mydoom.H, the attached file is a help file (.chm) containing removal instructions of Mydoom.H, i have downloaded it from www.symantec.com. to check to see if your computer has been infected by Mydoom.H refer to "Check for presence of W32.Mydoom.H" in the help file. best wishes,
  • -----オリジナルのメッセージ-----
    From:
    To:
    Sent: Sunday, March 14, 2004 11:53 AM
    > Details are in the attached document.
    >
  • ----- オリジナルのメッセージ -----
    From:
    To:
    Sent: Sunday, March 14, 2004 11:53 AM
    > Details are in the attached document.
    >
  • The attached file is a help file containing the removal instruction of W32.Mydoom.H. (This is an automatic virus detection mail created by Symantec Norton Antivirus 2004 for more info about Norton Antivirus 2004 visit www.symantec.com) Norton Antivirus 2004 Enterprise Edition

添付ファイル:(さまざまですが、*.ZIP形式で圧縮されてる場合があります。)

  • pchealth.exe
  • %random name% .chm

KaZaaを介した繁殖

・W32/Cone.f@MMは、以下のレジストリキーからKaZaaのダウンロードディレクトリのロケーションを取得します。

  • HKEY_LOCAL_MACHINE\Software\Kazaa\LocalContent "DownloadDir"

・以下のファイル名を使用して、/Receivedフォルダに自身をコピーします。

  • Hacking Exposed Network Security Secrets-chapt%number% .chm
  • 401 guitar tabs.chm
  • How_to_crack_Win_XP_activation.chm
  • Credit card numbers.chm
  • adult check passwords.chm
  • (ebook chm) Teach Yourself C++ In 14 Days.chm
  • eBook-OReilly-Learning the UNIX Operating System.chm
  • Hacker's Guide.chm

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・W32/Cone.f@MMが実行されると、以下のウインドウが表示されます。

・W32/Cone.f@MMは、%SYSDIR%ディレクトリに以下のさまざまなDLLファイルをドロップ(作成)します。DLLファイルには、0バイトのもの、ウイルス本体を含むもの、感染システムからデータ(収集された電子メールアドレスなど)を取得したものがあります。

  • 02check.dll
  • 02eml.dll
  • 02seml.dll
  • 02url.dll
  • 02vis.dll

・file.dll ファイルは%TEMP%ディレクトリにも作成される可能性があります。

・W32/Cone.f@MMは、以下のレジストリキーを作成して、起動時に自身を実行します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "System Host Service" = C:\windows\svchost.exe
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "System Host Service" = C:\windows\svchost.exe

・W32/Cone.f@MMは、以下のようにSTARTUPフォルダにも自身をコピーします。

  • c:\Documents and Settings\All Users\Start Menu\Programs\Startup\WebCheck.pif

・また、以下の情報を含むThe-Power-Of-Cycl one.htmファイルをWindowsディレクトリにドロップ(作成)します。

感染方法TOPへ戻る

・W32/Cone.f@MMは、Microsoft アドレス帳のユーザに、自身のSMTPエンジンを使用してメールを送信します。

・以下の拡張子を持つファイルからアドレスを収集します。

  • .DBX .MBX .WAB .HTML .EML .HTM .ASP .SHTML .TXT

・宛先のドメイン名の先頭に以下のような文字列を追加して、受信者のメールサーバを推測します。

  • mx.
  • mx1
  • mail.
  • smtp.
  • gate
  • mail1.
  • relay.
  • ns.

・以下の文字列を含むアドレスには送信しません。

  • avp
  • syma
  • icrosof
  • msn.
  • hotmail.
  • panda
  • sopho
  • borlan
  • inpris
  • example
  • mydomai
  • nodomai
  • ruslis
  • .gov
  • gov.
  • .mil
  • foo.
  • berkeley
  • unix
  • math
  • bsd
  • mit.e
  • gnu
  • fsf.
  • ibm.com
  • google
  • kernel
  • linux
  • fido
  • usenet
  • iana
  • ietf
  • rfc-ed
  • sendmail
  • arin.
  • ripe.
  • isi.e
  • isc.o
  • secur
  • acketst
  • pgp
  • tanford.e
  • utgers.ed
  • mozilla
  • trend
  • bug
  • @mm
  • .html
  • .edu
  • spam
  • viru
  • listserv
  • remove
  • fbi
  • f-pro
  • itdefender
  • abuse
  • root
  • info
  • samples
  • postmaster
  • webmaster
  • noone
  • nobody
  • nothing
  • anyone
  • someone
  • bugs
  • rating
  • site
  • contact
  • soft
  • no
  • somebody
  • privacy
  • service
  • help
  • not
  • submit
  • feste
  • ca
  • gold-certs
  • the.bat
  • abuse
  • discuss
  • name
  • you
  • owner
  • mailer-daemon
  • admin
  • feedback
  • email
  • me

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足