ウイルス情報

ウイルス名 危険度

W32/GOP.j@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4235
対応定義ファイル
(現在必要とされるバージョン)
4235 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 02/11/28
発見日(米国日付) 02/11/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • W32/GOP.j@MM は大量メール送信型ウイルスで、二重拡張子の添付ファイルで届きます。電子メールメッセージは中国語でさまざまな件名と本文が書かれていますが、本文が英語の場合もあります。 本文は、Friend Greeting アプリケーションのようにウイルスの中にある文字列で構成されています。
    本文Hi,%Recipient%

    This is a nice E-greeting from your friend %Sender% !

    Go and pick it up at: http://www1.kaxiu.com/*blocked*

    This personal greeting will be available for 30 days.

    Hope you enjoy it and have fun!

    ***************************************************************

    Free E-greeting at Cardshow ----
    http://www.kaxiu.com

    ***************************************************************
    You have been added to the Windows Commander mailing list.

    You address is recorded as:

    To remove go to the following URL:
    http://ghisler.com/*blocked*

    If you have a new e-mail address, point your WWW browser to the
    address http://www.ghisler.com/*blocked* and use the change option.

    This is an automatic reply; no response is necessary.
    =============================================================

    The attachment content id is:
    Content-ID: <__0@Foxmail.net>

  • この電子メールヘッダは、不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020) 脆弱性も利用しています。したがって、パッチされていないシステムで Microsoft Outlook または Outlook Express を使用してこの電子メールメッセージを読むと、ウイルスが自動的に実行されます。
  • このウイルスが実行されると、送信者のシステムから入手した埋め込みファイル(.bmp、.doc、.gif、.jpeg、.jpg、.rtf、.txt ファイルのいずれか)を WINDOWS TEMP ディレクトリに抽出して開きます。この埋め込みファイルの名前が添付ファイル名の先頭部分となります。(例:SURVEY.DOC.EXE)
  • このウイルスは、WINDOWS SYSTEM (%SysDir%)ディレクトリに windowsagent.exe として自身をコピーして、システム起動時にこのコピーが読み込まれるように、次のレジストリ実行キーを作成します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WindowsAgent=C:\WINDOWS|\SYSTEM\WINDOWSAGENT.EXE
  • また、ICQ パスワード詐取のコンポーネントを作成して、WINDOWS ディレクトリと WINDOWS SYSTEM ディレクトリのいずれか、またはその両方に、drocerrbk.sys として保存します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • WINDOWS SYSTEM ディレクトリに、WINDOWSAGENT.EXE または DROCERRBK.SYS が存在する。
  • このウイルスは、バート・シンプソンのアイコンを使用する。

TOPへ戻る

感染方法

  • このウイルスは、ローカルマシンにある bmp、.doc、.gif、.jpeg、.jpg、.rtf、.txt のいづれかの拡張子を持つファイルの場所を特定し、新しい実行ファイルに埋め込む。そして、ローカルシステム上の .js、.htm、.html ファイルにある電子メールアドレスすべてに、“オリジナルのファイル名 + .exeまたは .lnk”(例:README.TXT.EXE)という名前の埋め込みファイルを SMTP を使用して送信する。
  • また、このウイルスは共有ネットワークを介しての繁殖も試み、“\RECYCLED\notdelw.i.n.v.e.r.y.i.f.y.exe”フォルダに自身をコピーして、起動時にウイルスを読み込むように WIN.INI 実行キーをリモートシステム上に作成する。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る