製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
W32/Fishlet@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4208
対応定義ファイル
(現在必要とされるバージョン)
4317 (現在7509)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日02/06/13
発見日(米国日付)02/06/12
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/23RDN/Generic....
07/23RDN/Generic....
07/23FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7509
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
  • W32/Fishlet@MM は、Visual Basic 6.0 で作成された、複数のコンポーネントから成る大量メール送信型ウイルスです。このウイルスは独自の SMTP エンジンを備え、Windows アドレス帳、Outlook のコンタクト リスト、およびインターネットの一時ファイルから取得された電子メール アドレスに自身を送信しようとします。テストでは、メール送信ルーチンにたいていバグが発生しました(必ずではありません)。通常、メールに添付されたこのウイルスのエンコードされたコピーは、不完全なものでした。
  • このウイルスが送信するメールの形式は、次のとおりです。
    件名'Advice Note'、'Order Report'、'Order' など、さまざま
    差出人'Online Marketplace' (orderrobot@ebay.com)、'eMarket Services' (mailrobot@ebayservice.com) など、さまざま
    添付ファイルランダムな名前 (------.EXE)、57,444バイト (本来なら)
    本文Dear eBay customer,
    Thank you for using eBay services.
    __________________________
    (メッセージの本文は、Pentium 4 PCの詳細が続き、ユーザに添付の 'Secure Transfer Plugin' (実はウイルス) を実行して指示に従うよう求めます)
  • ターゲット マシンで添付ファイルが実行されると、ターゲットの電子メール アドレスは、%WINDIR%\FISHLET.BIN というファイルに書き込まれます。このファイルは後に、ウイルスによって削除されます。また、次のファイルが落とし込まれます。
    • %WINDIR%\SSH261.EXE (57,344バイト) - このウイルスのコピー
    • %WINDIR%\CCFP.EXE (20,480バイト)
    • %WINDIR%\SNDVX.EXE (40,960バイト)
  • このウイルスは、設定を格納してシステム起動時に自身のプログラムが読み込まれるように、さまざまなレジストリ キーを追加します。

    例:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion_

    • \Run "SndVX" = C:\WINDOWS\SNDVX.EXE
    • \Virus Protection\6.0 "Cache Protect"
    • \Virus Protection\6.0 "Created"
    • \Virus Protection\6.0 "DefAddress"
    • \Virus Protection\6.0 "DefSMTPServer"
    • \Virus Protection\6.0 "InstallDate"
  • 上記のコンポーネントは、上記のエンジンと定義ファイルで W32/Fishlet@MM として検出されます。
  • また、2 つの画像(GIF)と HTML ファイルが、システムの一時ディレクトリに落とし込まれます。HTML ページには、ユーザのクレジット カード情報を収集するフォームが表示され、リモート アドレス(この情報の掲載時には存在しなかった)に送信されます。
  • さらに、このウイルスは、リモート マシンの 'Startup' フォルダへのハードコードされたディレクトリ パスを探すことで、ネットワークを通じて繁殖しようとします。このようなネットワーク繁殖は、テスト時には確認されませんでしたが、ウイルス内の文字列から判断すると、正常に機能した場合、リモートの Startup フォルダに自身を AVSHIELD.EXE としてコピーします。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルとレジストリ エントリが存在する。

感染方法TOPへ戻る
  • このウイルスは、自身とそのさまざまなコンポーネントを %WINDIR% ディレクトリにインストールし(詳細は上記)、システム レジストリをフックすることでターゲット マシンに感染する。

駆除方法TOPへ戻る
■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足