ウイルス情報

ウイルス名 危険度

W32/Evaman@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4373
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7633)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/07/05
発見日(米国日付) 04/07/05
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Evaman@MMは大量メール送信型ワームで、実行されるとnotepad.exeを起動します。

・以下のSMTPサーバを使用して、電子メールを送信します。

  • smtp.mail.yahoo.com
  • smtp.rcn.com
  • outgoing.verizon.net
  • smtp.comcast.net
  • mail.mindspring.com
  • smtp.email.msn.com
  • smtpauth.earthlink.net
  • smtp-server.nc.rr.com
  • smtp1.attglobal.net
  • mailhost.att.net
  • mail.optonline.net
  • mail.peoplepc.com
  • smtpout.bellatlantic.net
  • mail.verio.net
  • smtp.netzero.net
  • smtp.prodigy.net
・自身の送信先となる電子メールアドレスを入手するため、以下のユーザ名を使用して、email.people.yahoo.comで人の検索を実行します。
  • Mike
  • Jennifer
  • David
  • Linda
  • Susan
  • Nancy
  • Pamela
  • Eric
  • Kevin
  • Mary
  • Jessica
  • Patricia
  • Barbara
  • Karen
  • Sarah
  • Robert
  • John
  • Daniel
  • Jason
  • Joe
・送信される電子メールの形式は以下のとおりです。

件名:

  • returned mail
  • failure delivery
  • failed transaction
  • server error
  • mail failure
  • Delivery Status (Failure)
本文:
  • This is an automatically generated Delivery Status Notification. Delivery to last recipient failed. Email returned as attachment text file.
  • Message from Mail Delivery Server. Unable to deliver message to last recipient. Email returned as text file.
  • Email returned by the server as ASCII Text mail file. To read the email download the included attachment.
  • Mail Server Notice: Last email sent could not reach intented destination. Email returned as ASCII text file.
  • The last email sent by this account could not reach intended destination. Email has been returned as text file attachment.
  • Mail Delivery Status Notification: Message returned by server. Message returned as text file attachment.
添付ファイル:(以下のファイル名と拡張子のいずれか)
  • body
  • message
  • email
  • returned
  • text
  • document
  • *.scr
  • *.txt.scr
  • *.html.scr
  • outlook.scrtxt.exe

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・以下のレジストリキーが作成されています。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Wintasks
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wintasks
・以下の名前で%WINDIR%\System32ディレクトリにワームのコピーが作成されています。
  • wintasks.exe
(%WINDIR%は、C:\windowsまたはC:\winnt)

・W32/Evaman@MMが起動時に動作するよう、以下のレジストリフックが追加されています。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "wintasks.exe" = %WINDIR%\System32\wintasks.exe

TOPへ戻る

感染方法

W32/Evaman@MMは、電子メールで送付されます。感染した電子メール添付ファイルが実行されると、他の電子メールアドレスに自身を送信します。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る