ウイルス情報

ウイルス名 危険度

HotWorld

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4415
対応定義ファイル
(現在必要とされるバージョン)
4415 (現在7633)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2004/12/15
発見日(米国日付) 2004/12/10
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・HotWorldはローカルシステム上で検出されたアドレスに電子メールメッセージを送信します。

・メッセージの内容は以下のとおりです。

差出人: girl@worldgirsl.com
件名: Re: hot pics

本文:
Hello, mate!
Just found this hot teen girl, if you want you can see here:
http://www.nude- -bodies.com/girl/
sweet body and hot tits!
reply me what you think about

・このウイルス情報の作成時には、リンクをクリックすると、「Exploit-MhtRedir」、「Exploit-ByteVerify」、HotWorldをダウンロードする「Downloader-TB」をダウンロードする「VBS/Psyme」が仕掛けられたリモートサイトにアクセスしました。また、メッセージには「http://conyc.com/ 10050/light/」にアクセスするIFrameタグが組み込まれており、こちらも同様の結果をもたらします。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・HotWorldが動作すると、「nslookup」コマンドを実行することによりメールサーバを照会するバッチファイルをドロップ(作成)して実行します。この「run.bat」という名前のバッチファイルは「in」という名前のファイルからnslookupコマンドを読み取り、「out」という名前のファイルにMXレコードを出力します。これらのファイルはすべてHotWorldと同じフォルダに格納されます。

・また、「s.txt」という名前のファイルにアドレスのリストを格納します。

TOPへ戻る

感染方法

・このウイルス情報の作成時には、HotWorldは「Downloader-TB」によってダウンロードされました。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る