製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:H
ウイルス情報
ウイルス名危険度
W32/Holar.d@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4253
対応定義ファイル
(現在必要とされるバージョン)
4362 (現在7600)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Hawawi.Worm (NAV)
情報掲載日03/03/20
発見日(米国日付)03/03/19
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Holar.d@MMは、これまでに発見された亜種W32/Holar.c@MMに類似しています。電子メール、ピアツーピアネットワーク上での共有、PalTalk、ICQを介して繁殖します。

・W32/Holar.d@MMには非常に破壊的な発病ルーチンがあります。特定の拡張子を持つすべてのファイルの中身を削除して、0バイトにします(下記を参照してください)。

定義ファイル4215以降を使用し、プログラムヒューリスティックスキャン(および圧縮ファイルのスキャン)を有効にすると、繁殖コンポーネント(MEDIA PLAYER.EXE)は“virus or variant New P2P Worm”(特定のワーム名ではなく、ワームの総称)として検出されます。

インストール

・W32/Holar.d@MMは、以下のような3つのファイルによるサンドイッチ状の構造です。

  • ドロッパコンポーネント|繁殖コンポーネント|SMTPライブラリ(無害なファイル)

・ドロッパコンポーネントは、W32/Holar.c@MMのドロッパコンポーネントに類似しています。エンジン4.2.40および定義ファイル4248以降を使用すると、このワームはMultiDropper-EY(ワームの先頭部分を構成しているのがドロッパです)として検出されます。

・繁殖コンポーネントは、%SysDir%ディレクトリにMEDIA PLAYER.EXEというファイル名で書き込まれます(25,776バイト)。システムの起動時にこのファイルを実行するようにレジストリキーが設定されます。

設定されるレジストリキーの例:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "Ioadqm" = C:\WINDOWS\SYSTEM\MEDIA PLAYER.exe

・W32/Holar.d@MMは、C:\ドライブのルートに自身のコピーを複数作成します。コピー先に存在するファイル名を使用しますが、既存の拡張子を“[2].PIF”に書き換えます。

大量メール送信

・ターゲットマシン上のファイル(例:インターネットの一時フォルダ)から電子メールアドレスを収集し、レジストリに格納します。

電子メールアドレスを格納するレジストリの例:

  • HKEY_CURRENT_CONFIG\System "Emails1" = harvested address
  • HKEY_CURRENT_CONFIG\System "Emails2" = next harvested address など

・テストでは電子メールアドレスの収集とレジストリへの書き込みには成功しましたが、大量メール送信は実行しませんでした。

・ワーム内の文字列を見ると、さまざまな件名と本文の電子メールメッセージを作成します。

電子メールメッセージの例:

件名:'''*< Love Speaks it all >*'''

件名:Co0o0o0o0oL



件名:Fw:



件名:Heeeeeeeeeeeeeeeey



件名:Wussaaaaaaaap?


破壊的な発病ルーチン

・このワームがターゲットマシン上で実行されると、非常に破壊的な発病ルーチンを実行します。以下のいずれかの拡張子を持つファイルの中身が削除されて、0バイトになります(テストでは、ローカルおよびマップ済みのネットワークのすべてのドライブで実行しました)。

  • htm
  • html
  • zip
  • doc
  • mdb
  • xls
  • txt
  • ppt
  • pps
  • mpg
  • jpg
  • pdf
  • rar
  • ram
  • mp3
  • frm
  • dpr
  • php
  • cpp
  • swf
  • sql
  • mde
  • wav
  • rm
  • mpeg

ピアツーピアを介した繁殖

・これまでのW32/Holarの亜種とは違って、W32/Holar.d@MMはピアツーピアネットワーク上の共有でも繁殖します。%SysDir%ディレクトリに自身のコピーを複数作成して、他のユーザの注意を引くようなファイル名を使用します。作成されたコピーは、システム属性、読み取り設定属性、および隠しファイル属性が設定されています。

使用されるファイル名の例(不適切な言葉は伏字にしています):

  • Aint_it_Funny.pif
  • Anal_Sex_Ass_fxxxing.pif
  • AniMaL_N_Burning_Ladies.pif
  • Asian_girls.pif
  • Beauty_VS_Your_FaCe.pif
  • Big_txxx_bxxxx_Pxxxies.pif
  • Black_babes.pif
  • Broke_ass.pif
  • Come_2_Cxx.pif
  • cute_Gays.pif
  • Endless_life.pif
  • Famous_PpL_N_Bad_Setuations.pif
  • FASS.mpeg
  • Gurls_Secrets.pif
  • HardCore_Amature_Naked_nude.pif
  • HaWaWi.pif
  • HaWawi_N_Hawaii.pif
  • Hearts_translator.pif
  • Hot_Show.pif
  • Hot_teen_Virgin.pif
  • How_to_improve_ur_love.pif
  • Leaders_Scandals.pif
  • LeSbian_Girls_Lesbo_gay.pif
  • Lo0o0o0o0oL.pif
  • Music_downloader.pif
  • Old_women_Sex.pif
  • Real_Magic.pif
  • SeXy_LaDies_Gettin_fxxxed.pif
  • Shakira_ass.pif
  • Shakiraz_Big_ass.pif
  • Short_vClip.pif
  • Show_clip_mpeg_movie.pif
  • SmtpMailer.dll
  • Sweet_but_smilly.pif
  • Sys32 .exe
  • Tears_of_Happiness.pif
  • Tedious_SeX.pif
  • Teenz_Rxxxr.pif
  • The_Truth_of_Love.pif
  • unfaithful_Gurls.pif
  • Wet_pxxxxes.pif
  • Wet_pxxxx_huge_cxxx_nice_dxxx.pif
  • White_AmeRica.pif
  • XxX_Mpegs_Downloader.pif
  • Young_teen_Having_Sex.pif

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイル名のワームのコピーが複数存在します(システム属性と隠しファイル属性が設定されています)。

・上記のレジストリキーが存在します。

・多くのファイルの中身が削除されて0バイトになっています(上記のように、対象となるファイルは拡張子で選択されます)。

感染方法TOPへ戻る

・W32/Holar.d@MMは、以下の複数のチャネルで繁殖します。

  • ターゲットマシン(インターネットの一時フォルダ)から抽出した電子メールアドレスに自身を電子メールで送信する
  • KaZaaピアツーピアファイル共有ネットワーク
  • ICQ
  • PalTalk

・これまでに発見されたW32/Holar亜種と同様に、3つの実行ファイルがつながって構成されており、以下のような“3つのファイルによるサンドイッチ状の構造”です。

  • ドロッパコンポーネント|繁殖コンポーネント|SMTPライブラリ

・C:\MSG.HTMというファイル名のHTMLファイルが落とし込まれます。このファイルは、ウイルス作成者の以下のメッセージを含んでいるだけです。

MaDe iN HaWaWi
By ZaCker & MyLife
2003/03/03
We BeLieVe Dat Filling
Da HD With Data Will
Hurt The PC
Oops
We Could Deal With it
Hawa ;) Bye

・上記のエンジン/定義ファイルを使用すると、このワームと個別のメールコンポーネントはW32/Holar.d@MMとして検出されます。落とし込まれるHTMLファイルは、W32/Holar.htmとして検出されます(定義ファイル4254を使用してください)。