ウイルス情報

ウイルス名 危険度

W32/Epon@MM

企業ユーザ: 低
個人ユーザ: 低
種別 インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4308
対応定義ファイル
(現在必要とされるバージョン)
4308 (現在7656)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Epon (AVP):W32.HLLW.Epon@mm (NAV)
情報掲載日 03/12/05
発見日(米国日付) 03/12/02
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Epon@MMはUPX圧縮された単純なワームで、以下の方法で繁殖するように設計されています。

  • 電子メール:VBSスクリプトを落とし込んで、(Outlookを使用して)Outlookのアドレス帳に登録されている宛先に自身を電子メールで送信
  • IRC:IRCで宛先に自身を送信(dcc送信)
  • ピアツーピア:ローカルマシンにユーザの注意を引くようなファイル名をつけた自身のコピーを複数作成して、フォルダを共有するようにピアツーピアクライアントを再設定

総称による検出

・W32/Epon@MMは、ゲートウェイ製品で定義ファイル4302以降を(圧縮ファイルのスキャンを有効にして)使用すると、W32/Generic.c!p2pの亜種として検出されます。

・落とし込まれるEPYON.VBSスクリプト(大量メール送信に使用)は、定義ファイル4096以降でVBS/Scramblerとして検出されます。

・落とし込まれるSCRIPT.INIスクリプト(IRCにおけるワームの送信に使用)は、定義ファイル4091以降でMIRC/Genericとして検出されます。

電子メールを介した繁殖

・W32/Epon@MMは、system temporaryフォルダにVBSスクリプトを落とし込みます。

フォルダの例:

  • C:\WINNT\TEMP\EPYON.VBS

・このスクリプトは、上記で説明したようにVBS/Scramblerとして検出されます。

・このスクリプトは、Outlookを使用して、Outlookのアドレス帳に登録されている宛先(アドレスリストあたり最大1,000件)にワームを電子メールで送信します。以下のような電子メールを送信します。

件名:Britney Spears poses nude in the Playboy!
本文:

This month were celebrating our 50th Anniversary!

Therefore we send to erveryone on the net a free example of our special 50th anniversary issue, especially for this issue Britney Spears takes off her clothes...

We even have a few surprises up our cuff-linked sleeve, including an unbelievable 50th Anniversary Playmate plucked from thousands of beautiful hopefuls. So whether you read it for the articles, the pictorials or both, we salute you.

Buy or Playboy magazine in stores now, or visit www.playboy.com !

添付ファイル:Britney Spears.jpg(多数のスペース).exe

ピアツーピアを介した繁殖

・W32/Epon@MMは、%SysDir%ディレクトリのEPYONという名前のフォルダに、ユーザの注意を引くようなファイル名で自身のコピーを複数作成します。

フォルダの例:

  • C:\WINNT\SYSTEM32\EPYON

・通常のピアツーピアワームと同様に、多数のファイル名を使用します。

ファイル名の例:

  • Britney Spears.jpg.exe
  • Anna Kournikova (HOT!).scr
  • Buffy The Vampire Slayer Screensaver.scr
  • Free XXX passwords.pif
  • Grand Theft Auto Vice City - Multiplater patch.exe

・このフォルダは、以下のピアツーピアアプリケーションで共有されます。

  • KaZaa
  • Grokster
  • iMesh
  • Morpheus
  • eDonkey2000
  • Overnet

IRCを介した繁殖

・W32/Epon@MMは、system mIRCフォルダにmIRCスクリプト(SCRIPT.INIファイル)を落とし込みます。SCRIPT.INIファイルは、以下のメッセージをIRCユーザに送信します。

This is a global message to all users of mIRC, Please do not reply to this message. Please update mIRC to his latest version with this patch.

・次に、以下のファイル名でW32/Epon@MMをdcc送信します。

  • mIRC UPDATE.EXE

ファイル削除発病ルーチン

・W32/Epon@MMは、以下のファイルを削除します。

  • C:\IO.SYS
  • C:\MSDOS.SYS
  • C:\CONFIG.SYS
  • C:\BOOT.INI

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・下記のファイルがインストールされ、レジストリフックが作成されます。

・下記のメッセージボックスが表示されます。

・上記のメッセージを送信します。

TOPへ戻る

感染方法

・W32/Epon@MMが実行されると、以下のメッセージボックスを表示します。

・ターゲットマシンの%SysDir%ディレクトリに自身をインストールします。

例:

  • C:\WINNT\SYSTEM32\KRNL32.EXE

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Kernel32" = C:\WINNT\SYSTEM32\KRNL32.EXE

・(上記のように)EPYON.VBSファイルとSCRIPT.INIファイルを落とし込んで、電子メールとIRCを介した繁殖をそれぞれ実行します。

・(上記のように)W32/Epon@MMのコピーを複数落とし込んで、ピアツーピアを介して繁殖します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る