ウイルス情報

ウイルス名 危険度

W32/DeltaD@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4227
対応定義ファイル
(現在必要とされるバージョン)
4245 (現在7633)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Deltad (AVP), W32.Deltad.A@mm (Symantec), W32/Deltad (Panda), Win32.Deltad (CA), WORM_DELTAD.A (Trend)
情報掲載日 02/10/09
発見日(米国日付) 02/09/25
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


概要

TOPへ戻る

ウイルスの特徴

  • このウイルスの VBScript コンポーネントは、定義ファイル 4100 〜 4227 を使用してマクロ ヒューリスティックを有効にしてスキャンすると、New Script(またはNew VBS)として検出されます。
  • この大量メール送信型ウイルスは、Outlook のアドレス帳に登録されているすべての宛先に、MAPI メッセージングを使用して、自身を電子メールで送信することで繁殖します。次のようなメッセージで届きます。

  • 添付ファイルが実行されると、このウイルスは自身を C:\、WINDOWS (%WinDir%)、および WINDOWS SYSTEM (%SysDir%) ディレクトリにコピーします。
    • C:\WWW.DGSAP.DELTADG.COM.EXE
    • C:\WINDOWS\server.exe (217,347バイト)
    • C:\WINDOWS\SYSTEM\server.exe
  • システムが起動されるたびに実行ファイルが読み込まれるように、2つのレジストリ実行キーが作成されます。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "server" = C:\WINDOWS\SYSTEM\server.exe
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "server" = C:\WINDOWS\server.exe
  • この実行ファイルにより、レジストリ エディタが動作しないようにするシステム ポリシーと、Internet Explorer の[セキュリティ]および[詳細設定]タブが表示されないようにするポリシーが作成されます。これにより、Internet Explorer と Outlook 2002 のセキュリティ レベルが下がります。
  • VBScript ファイルは、WINDOWS (%WinDir%)および WINDOWS SYSTEM (%SysDir%)ディレクトリに作成されます。また、これらのファイルがシステム起動時に読み込まれるように、2つの追加レジストリ キーが作成されます。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "winserver" = C:\WINDOWS\Server.txt.vbs
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "serverex" = C:\WINDOWS\SYSTEM\System.txt.vbs
  • この VBScript ファイルは、電子メール繁殖ルーチンとして機能します。このウイルスが Outlook のアドレス帳から取得したアドレスはすべてレジストリ内に格納されるので、ウイルスは同じ受信者に自身を1度だけ送信することになります。
    • HKEY_CURRENT_USER\Software\Microsoft\WAB\%Recipient address%=1
  • また、このウイルスは、レジストリを改変することで、共有名 ADMIN$ を作成しようとします。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 次のファイルが存在する。
    • server.exe (217,347バイト)
    • Server.txt.vbs (1,625バイト)
    • System.txt.vbs (1,625バイト)
  • このウイルスは、実行されると、Web アドレス http://dgwww を読み込もうとする。

TOPへ戻る

感染方法

  • このウイルスは、電子メールの添付ファイルとして届く。実行されると、Outlook のアドレス帳に登録されているすべての宛先に、MAPI メッセージングを使用して自身を送信する。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る