McAfee for Small Businesses

ウイルス名 危険度 W32/Chir.b@MM 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) N 対応定義ファイル (現在必要とされるバージョン) 5812　（現在7109) 対応エンジン 5.3.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 情報掲載日 2009/11/25 発見日（米国日付） 2003/01/08 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 06/18 RDN/Generic.... 06/18 VBS/LoveLett... 06/18 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7109  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る -- 2009年11月25日更新 -- ・emlファイルをコピーし、ネットワーク共有で見つかった実行ファイルに感染するW32/Chir.b@MMのサンプルが確認されました。 ・W32/Chir.b@MMは、電子メールを使った拡散も可能な、いくつかのファイル形式をターゲットにするファイル感染ウイルスです。起動すると、すぐに以下の名前のMutexを作成します。 "ChineseHacker-2" ・これにより、同時にW32/Chir.b@MMの複数のインスタンスが実行されないようにします。次に、以下の名前を持つ純粋な感染プログラムのインスタンスをWindowsフォルダにドロップ（作成）します。 "runouce.exe" ・おとりとしてこのような名前が選ばれています。次に、以下のレジストリ値を作成して、再起動後も引き続き実行されるようにします。 "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Runonce" ・上記のレジストリ値はW32/Chir.b@MMの実行ファイルを指しています。レジストリキーを守るため、レジストリキーを監視し、必要な場合に復元するスレッドを作成します。これらの動作の実行後、感染プログラムを起動し、感染するファイルがないか、ローカルディスクを検索します。感染するファイルは実行ファイルとhtmlファイルです。 ・ローカルディスクを検索し、htmlファイルに感染する際、感染したhtmlを使用し、電子メールを介して拡散できるよう、同じフォルダに自身を格納したEMLファイルをドロップします。 ・また、電子メールアドレスを抽出するため、ローカルドライブをスキャンしてwab、doc、xls、adcファイル、名前が「r.db」で終わるファイルを探し出します。ファイルが見つかると、base64形式で自身を格納した電子メールを作成し、抽出した電子メールアドレスに送信します。さらに、毎月1日には、W32/Chir.b@MMが見つけたdoc、xls、adc、*r.dbファイルの最初の4660バイトを上書きし、修復できないようにします。 ・また、以下の通知メッセージを表示する可能性があります。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る W32/Chir.b@MMがシステムが監視するフォルダに感染すると、Windowsファイル保護からリストアCDが求められます。 通常のコンピュータの使用中にW32/Chir.b@MMのメッセージボックスが表示されます。 HTMLファイルの閲覧時にOutlookが起動します。 Office文書が破壊されます。 ローカルディスク全体に「Readme.eml」ファイルが存在します。 system32フォルダにW32/Chir.b@MMのメインファイルが存在します。 W32/Chir.b@MMのレジストリキーが存在します。 感染方法 TOPへ戻る ・感染したファイルを起動すると、悪意のある活動が開始され、システムが感染します。 駆除方法 TOPへ戻る ■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。 Windows ME/XPでの駆除についての補足