ウイルス情報

ウイルス名 危険度

Bat/Eversaw@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4213
対応定義ファイル
(現在必要とされるバージョン)
4213 (現在7633)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32/Eversaw.bat@MM
情報掲載日 02/07/09
発見日(米国日付) 02/07/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • Bat/Eversaw@MM は、バッチ スクリプトで書かれたインターネット ウイルスです。このウイルスは、さまざまなメカニズムを介して繁殖しようとします:Outlook のコンタクト リストへの大量メール送信、mIRC/pIRCh を介しての繁殖、Kazaa のファイル共有を利用した繁殖
  • 大量メール送信に必要な VBS コンポーネントは、定義ファイル 4140 以降を使用すると、VBS/Generic@MM として検出されます。
  • IRC ini ファイル コンポーネントは、定義ファイル 4083 以降を使用すると、MIRC/Generic として検出されます。
  • このウイルスは、MS-DOS バッチ ファイルになっています。実行されると、A:\ に自身をコピーしようとし(Win9x でのみ機能します)、次の一連のファイルを落とし込みます。
    1. 暗号化されたバッチ ファイル RUN.BAT
    2. バッチ ファイル RUN.BAT を復号する VBS スクリプト(CR.VBS)を作成するためのデバッグ スクリプト
    3. JPEG画像ファイルを作成するためのデバッグ スクリプト(C:\SOULCONTROL.JPG - 32,966バイト)
  • その後、上記の RUN.BAT が復号され、実行されます。このバッチ ファイルは、次のようなさまざまな操作を実行します。
    • ファイルの削除 - 特定のウイルス対策シグネチャ ファイルと mIRC/pIRCh ini ファイルを削除しようとします。
    • システムのフック - win.ini を改変して、システム起動時にウイルスのコピー(C:\BAT.SOULCONTROL.BAT)が実行されるようにします。
    • IRC 繁殖 - mIRC/pIRCh ini ファイルを改変して、mIRC/pIRCh チャンネルを介して繁殖しようとします。
    • Kazaa - レジストリ キーを次のように改変して、Kazaa ファイル共有設定(共有c:\)を改変します。
    • HKCU\Software\Kazaa\LocalContent "Dir0" = 012345:c:\
      HKCU\Software\Kazaa\LocalContent "DisableSharing" = 00 00 00 00

    • 大量メール送信 - VBS スクリプト(OL.VBS)を落とし込んで実行し、Outlook のコンタクト リストに登録されているすべての宛先にウイルスのコピーを送信します。送信メールの例は次のとおりです。

    • 作者のタグ - レジストリ キーを改変して、落とし込まれた BAT ファイル(C:\PL.BAT)がシステム起動時に実行されるようにします。これにより、次のような落とし込まれた JPEG 画像が表示されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルが存在する。システム起動時に、上記の画像が表示される。

TOPへ戻る

感染方法

  • このウイルスは、実行されると、ターゲットマシンに一連のファイルとデバッグ スクリプトを落とし込み、感染する。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る