ウイルス情報

ウイルス名 危険度

W32/Coronex.worm.b

企業ユーザ: 低
個人ユーザ: 低
最小定義ファイル
(最初に検出を確認したバージョン)
4260
対応定義ファイル
(現在必要とされるバージョン)
4260 (現在7659)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Coronex.b (AVP):W32/Coronex.worm.gen
情報掲載日 03/04/24
発見日(米国日付) 03/04/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Coronex.wormは大量メール送信型ワームです。電子メールで繁殖するだけで、破壊的な発病ルーチンはありません。Windowsのアドレス帳にあるすべてのアドレスに自身を送信します。

注意:
W32/Coronex.wormは定義ファイル4260以降ではW32/Coronex.worm.genとして検出されます。

・W32/Coronex.worm.bは、以下のような電子メールメッセージの添付ファイルで届きます。

送信者: virus@nai.com
件名:virus
本文:virus
添付ファイル: virus.exe

または

送信者: virus@symantec.com
件名:virus
本文:virus
添付ファイル:virus.exe

または

送信者: virus@antivirus.com
件名:virus
本文:virus
添付ファイル:virus.exe

または

送信者: virus@mcafee
件名:virus
本文:virus
添付ファイル:virus.exe

または

送信者: virus@avp.ru
件名:virus
本文:virus
添付ファイル:virus.exe

または

送信者: virus@rav.com
件名:virus
本文:virus
添付ファイル:virus.exe

または

送信者: virus@drweb.com
件名:virus
本文:virus
添付ファイル:virus.exe

・添付ファイルが実行されると、以下の発病ルーチンを実行します。

  • %WINDIR%ディレクトリに自身のコピーをドロップ(作成)する。
  • 以下のメッセージボックスを表示する。
  • 以下のレジストリキーを作成して、起動時に自身を実行する。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "PC-Config32" = C:\%WINDIR%\virus.exe -A

  • ブラウザのデフォルトのホームページを変更する。

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    "Start Page" = http://www.bitdefender.com

  • C:\My Downloadsフォルダを検索し、以下のリストからランダムに選択したファイル名で自身のコピーをドロップ(作成)する。
    • Cossacks Full Version.exe
    • Cossacks Full Version.exe
    • Battlefield 1942 (full).exe
    • Warcraft III Full.exe
    • Jedi Knight II.exe
    • Quake 3 Full Version.exe
    • Starcraft full.exe
    • Doom 3.exe
    • Tribes 2 (full).exe
    • Rainbow 6 Full.exe
    • Oni full.exe
    • White and Black.exe
    • Return to Castle Wolfenstien (Full).exe
    • Command & Conquer: Generals.exe
    • Black HawkDown (full).exe
    • The Sims: Unleashed.exe
    • Age Of Mythology.exe
    • Dark Age of Camelot.exe
    • Ultima Online.exe
    • The Lord of the Rings.exe
    • Medel of Honor: Allied Assualt.exe
    • Grand Theft Auto 3 (full).exe
    • Unreal 2: The Awakening (full).exe
    • Unreal.exe
    • Master Of Orion.exe

    注:ワームのコピーの末尾にはゴミデータが追加されるので、ファイルサイズはそれぞれ異なります。また、同じディレクトリに0バイトのファイルを落とし込みます。

  • Windowsのアドレス帳にあるアドレスに自身を送信する。自身のSMTPエンジンを使用して、上記の電子メールメッセージを作成する。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとレジストリキーが存在します。

TOPへ戻る

感染方法

・W32/Coronex.worm.bは実行されると、自身のSMTPエンジンを使用してWindowsのアドレス帳にあるすべてのアドレスに自身を送付します。%WINDIR%フォルダに自身をコピーし、レジストリキーを改変して起動時に、作成したコピーを実行します。

TOPへ戻る