ウイルス情報

ウイルス名

W32/Hadra@M

種別 インターネットワーム
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4144
対応定義ファイル
(現在必要とされるバージョン)
4317 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Hadra (F-Secure) : I-Worm.Hydra (AVP) : I-Worm.Hydra (AVP) , W32.Hyd@mm (NAV) , Win32.Hydra.12249 (CA)
情報掲載日 01/06/21
発見日(米国日付) 01/06/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このメーリング ウイルスは、Microsoft Outlookを通して配信されます。

  • 添付ファイルなしで電子メール メッセージを送信しようとすると、このウイルスは8文字のランダムな名前(拡張子.EXE)を付けて、自身のプログラム(15KB)を添付します。

  • 添付ファイルがあるときは、そのファイル名の拡張子だけを.EXEに変えて、自身のプログラムに差し替えます。

  • メールを受け取った人が添付ファイルを実行すると、気づかないうちに、そのコンピュータからウイルスが繁殖します。

  • ウイルス プログラムが添付された最新の送信済みメールアイテムはすべて、ウイルスによって削除されます。

  • 13日の金曜日の午後1時から午後2時の間に、メールを送信しようとすると、本文に次の文字が挿入さされます。

    [I-Worm.Hydra] ...by gl_st0rm of [mions]

  • このウイルスは、起動すると、MSSERV.EXEという名前で自身のプログラムをWINDOWSディレクトリにコピーし、システムの起動時にそのプログラムが読み込まれるように、次のレジストリ実行キーを作成します。

    HKCU\Software\Microsoft\Windows\CurrentVersion\

    Run\msservice=%WinDir%\msserv.exe

    HKCU\Software\Microsoft\Windows\CurrentVersion\

    RunServices\msservice=%WinDir%\msserv.exe

    HKLM\Software\Microsoft\Windows\CurrentVersion\

    Run\msservice=%WinDir%\msserv.exe

    HKLM\Software\Microsoft\Windows\CurrentVersion\

    RunServices\msservice=%WinDir%\msserv.exe

  • MSCONFIG.EXEファイルは削除され、次のプロセスは、読み込まるとただちに終了します。

    Amon

    AntiVir

    AVG

    AVP Monitor

    Dr.Web

    F-Secure

    F-STOPW

    File Monitor

    InoculateIT

    Iomon98

    navpw32

    NOD32

    Norman Virus Control

    Norton AntiVirus

    Registry Editor

    Registry Monitor

    Task Manager

    Trend PC-cillin

    vettray

    Vshwin

  • 次のいずれかのFTPサイトから有効なSETI(Search for Extraterrestrial Intelligence)ソフトウェアがダウンロードされ、インストールされます。

    ftp://alien.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe

    ftp://ftp.cdrom.com/pub/setiathome/setiathome-3.03.i386-winnt-cmdline.exe

    ftp://ftp.cdrom.com/.2/setiathome/setiathome-3.03.i386-winnt-cmdline.exe

    ftp://ftp.let.uu.nl/pub/software/winnt/setiathome-3.03.i386-winnt-cmdline.exe

    ftp://setidata.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe

  • SETI環境設定ファイルUSER_INFO.SAHとVERSION.SAHが、WINDOWSディレクトリに作成されます。

  • SETIプログラムを起動するためのファイルRUN_MSSETI.VBSとMSSETI.BATが、WINDOWSディレクトリに作成されます。

  • 起動時にVBScriptが実行されるように、次の2つのレジストリ キーが作成されます。

    HKLM\Software\Microsoft\Windows\CurrentVersion\

    Run\msseti=WScript.exe %WinDir%\run_msseti.vbs

    HKLM\Software\Microsoft\Windows\CurrentVersion\

    RunServices\msseti=WScript.exe %WinDir%\run_msseti.vbs

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る