製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:H
ウイルス情報
ウイルス情報

ウイルス名
W32/Hlam@MM
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4140
対応定義ファイル
(現在必要とされるバージョン)
4274 (現在7593)
対応エンジン4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.HLLP.Chlamydia, W97M.Hlam.A, W97M/Hlam@MM
情報掲載日01/05/31
発見日(米国日付)01/05/21
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/20RDN/Generic....
10/20FakeAV-M.bfr...
10/20FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 




  • W32/Hlam@MMは、.EXEファイルとMicrosoft Word 97(またはそれ以降)の文書およびテンプレートに感染する複合感染型ウイルスですが、マスメーラーのIRCウイルスとしても動作します。

  • このウイルスは、起動すると、Outlookのアドレス帳に登録されているすべての送信先に、連続した2つの電子メールを配信します。メッセージの内容は、次のとおりです。

    --- First message ---
    Subject: Hey
    Body:

    Hey just telling you hi. Also i'm telling you in the next email there will be an attachment along with it, so don't worry. Gotta go. Bye :)
    --- End first message ---

    --- Second message ---
    Body:
    -- One of the following message bodies is selected at random --

    Here's that attachment I told you about. It's an adult screensaver slideshow program
    or
    Here's that attachment I told you about. It's an Outlook Service Release upgrade
    or
    Here's that attachment I told you about. It's a Microsoft Explorer Patch
    or
    Here's that attachment I told you about. It's a Desktop Game I downloaded off theinternet
    or
    Here's that attachment I told you about. It's a brand-new MP3 player with 3D plug-ins
    or
    Here's that attachment I told you about. It's an interactive screensaver that counts 'howmany days you have left to live' :)

    -- end message variations --

    Here it is
    Attachment: INSTALL.EXE or INSTALL.SCR
    -- End second message --

    <訳>
    --- 1つ目のメッセージ ---
    件名Hey
    本文これはただのあいさつメールです。次に送るメールにファイルを添付します。心配しないで、開けてみてください。
    --- 2つ目のメッセージ ---
    本文-- 以下の内容のいずれかがランダムに配信されます --

    * 最初のメッセージで書いたとおり、ファイルを添付します。このファイルは成人向けのスクリーンセーバ スライドショー プログラムです。

    * 最初のメッセージで書いたとおり、ファイルを添付します。このファイルは、Outlook サービス リリースのアップグレード版です。

    * 最初のメッセージで書いたとおり、ファイルを添付します。このファイルは、Microsoftエクスプローラのパッチプログラムです。

    * 最初のメッセージで書いたとおり、ファイルを添付します。このファイルは、インターネットからダウンロードしたデスクトップ ゲームです。

    * 最初のメッセージで書いたとおり、ファイルを添付します。このファイルは、3Dプラグインを装備した最新MP3プレーヤーです。

    * 最初のメッセージで書いたとおり、ファイルを添付します。このファイルは、あなたがあと何日生きられるかをカウントするインタラクティブなスクリーンセーバです。

    添付ファイルです。

    添付ファイルINSTALL.EXEまたはINSTALL.SCR

  • 添付ファイルが実行されると、このウイルスは、.EXEおよび.SCRファイルに自身を付加することによって、実行されるすべての.EXEおよび.SCRファイルを改変します。

  • オリジナル ホスト ファイルの最初の1,000バイトが暗号化され、ホスト ファイルの最後に置かれます。

  • ホスト ファイルを実行すると、ウイルスは未感染のホスト画像を.VXVファイルに抽出して実行し、ホストが終了した時点で、そのファイルを削除します。

  • また、"Syphilis"というマクロをWord97(またはそれ以降)の文書に追加して、実行可能なウイルス コードをそれらの文書に付加します。

  • このウイルスは、自身を"CHLAM.EXE"ファイルに抽出して、次のファイルにコピーします。

    %WinDir%\System\SysT_eDit.exe
    %WinDir%\System\sys_edit_.dll

  • このウイルスは、mIRCを通して自身を他のIRCユーザに配信します。

  • このウイルスに感染したファイルは、19,500バイト増大します。

  • W32/Hlam@MMのマクロ ウイルス部分は、感染文書を閉じると起動します。自身をFAYZE.DLLファイルにエクスポートして、そのコードを未感染の文書にインポートすることによって繁殖します。

  • このマクロ ウイルスは、Microsoftのマクロ ウイルス警告メッセージ、標準テンプレートの保存プロンプト、ファイル変換プロンプトを無効にするほか、メニュー オプションの[ファイル]-[テンプレート]、[ツール]-[マクロ]、[ツール]-[マクロ]-[VISUAL BASIC EDITOR]を無効にします。

  • 次のレジストリ キーが作成または改変されます。

    HKEY_LOCAL_MACHINE\Software\Team Necrosis\

    HKCR\comfile\shell\open\command\
    (Default)= "C:\windows\system\SysT_eDit.exe" %1 %*
    正しい値:"%1" %*

    HKCR\exefile\shell\open\command\
    (Default)= "C:\windows\system\SysT_eDit.exe" %1 %*
    正しい値:"%1" %*

    HKCR\scrfile\shell\open\command\
    (Default)= "C:\windows\system\SysT_eDit.exe" %1 /S
    正しい値:"%1" /S