製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:H
ウイルス情報
ウイルス名危険度
W32/Hiton.a@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4331
対応定義ファイル
(現在必要とされるバージョン)
4331 (現在7544)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日04/03/03
発見日(米国日付)04/03/02
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/31PWS-Mmorpg.g...
08/31Generic.tfr!...
08/31PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Hiton.a@MMは電子メールワームで、特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用してメッセージを作成
  • ターゲットマシンからターゲット電子メールアドレスを収集
  • 送信メッセージの「送信者:」アドレスを偽造
  • ユーザの注意を引くようなファイル名を使用して、ローカルに自身をコピー

総称による検出

・定義ファイル4120以降を使用し、プログラムヒューリスティックを有効にして圧縮ファイルをスキャンすると、W32/Hiton.a@MMは“virus or variant New Worm”として検出されます。

電子メールを介した繁殖

・W32/Hiton.a@MMは自身のSMTPエンジンを使用してメッセージを作成し、ターゲットマシンから収集したアドレスに送信します。「送信者:」アドレスは偽造されます。

送信者:偽装されています。
件名:ウイルス内の文字列から作成されます。
本文:ウイルス内の文字列から作成されます。
添付ファイル:さまざまなファイル名を持つW32/Hiton.a@MMのコピーで、ZIPファイルに含まれています。多くの場合、以下の拡張子を持ちます。

  • .HTM (many spaces) .EXE

・収集された電子メールアドレスは以下のファイルに書き込まれます。

  • %SysDir%\WSICK32.DLL

・分析終了後に情報を更新します。

ピアツーピアを介した繁殖

・W32/Hiton.a@MMは、 %WinDir%ディレクトリ内に.{21EC2020-3AEA-1069-A2DD-08002B30309D}フォルダを作成します。作成したフォルダに、ユーザの注意を引くようなファイル名を使用して自身のコピーを複数作成します。

  • c:\WINNT\.{21EC2020-3AEA-1069-A2DD-08002B30309D}

・W32/Hiton.a@MMは本体に含まれる、ユーザの注意を引くようなファイル名を使用して上記のフォルダに自身をコピーします。例:

  • 3D Studio Max 6 Keygen.exe
  • Adobe Atmosphere 1 Crack.exe
  • Adobe Illustrator CS Keygen.zip.pif
  • Adobe InCopy CS Keygen.exe
  • AutoCAD Mechanical 2004 DX Keygen.exe
  • Borland C++ Builder X Enterprise Keygen.exe
  • Borland Delphi 8 Enterprise Keygen.exe
  • Borland JBuilder X Enterprise Keygen.exe
  • Counter Strike - Condition Zero Online Crack.exe
  • Cyberlink PowerProducer 2 Gold Crack.exe
  • Dead to Rights Crack.zip.pif
  • Deep Sea Tycoon Keygen.exe
  • Easy CD Creator 7 Crack.exe
  • FIFA Football 2004 Keygen.exe
  • Geomagic Studio V6 Keygen.exe
  • InstallShield DevStudio 9 SP1 Crack.exe
  • Jack The Ripper Keygen.exe
  • L'Entraineur 4 Saison 2003-2004 Multilangue Keygen.exe
  • Leadtools Multimedia Imaging Suite Crack.exe
  • Legacy of Kain - Defiance Keygen.exe
  • MCAfee Internet Security 6 Keygen.exe
  • Microsoft Office NET Keygen.exe
  • Microsoft Systems Management Server 2003 Keygen.exe
  • Microsoft Technet 2004 Keygen.exe
  • Microsoft Windows Server 2003 Keygen.exe
  • Microsoft Windows XP Media Center Edition 2004 Keygen.exe
  • Microsoft Windows XP SP2 No Activation Keygen.exe
  • Nero_Burning_Rom_6_0_0_1_9 Crack.exe
  • Onimusha Keygen.exe
  • Pinnacle Studio v9 Multilanguage Keygen.exe
  • Point of Attack 2 Keygen.exe
  • PowerDVD 5 Deluxe Keygen.exe
  • ScanSoft OmniPage v14 Office Keygen.exe
  • School Tycoon Crack.exe
  • Symantec Norton Anti Spam 2004 Enterprise Keygen.exe
  • Symantec Norton Anti Virus 2004 Enterprise Keygen.exe
  • Symantec Norton Systemworks 2004 Enterprise Keygen.exe
  • Veritas Backup Exec V91 Keygen.exe
  • Wakeboard Unleashed Crack.exe

・また、W32/Hiton.a@MMはターゲットマシンからアプリケーションのファイル名を収集し、以下のファイルに書き込みます。

  • %SysDir%\WSUCK32.DLL

・上記のファイル名は、W32/Hiton.a@MMのコピーのファイル名です。このようなコピーは、同じような名前のZIPアーカイブの中にもあります。例:

  • ntfilmon.exe
  • pdump32.exe
  • pdump32.zip
  • procexpnt.exe
  • procexpnt.zip

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイル/レジストリキーが存在します。

・ローカルホスト(127.0.0.1)を指示する、ウィルス対策会社のドメインを照合します。

感染方法TOPへ戻る

インストール

・W32/Hiton.a@MMは%WinDir%ディレクトリに自身をSVCHOST.EXEとしてインストールします。例:

  • C:\WINNT\SVCHOST.EXE

・以下のキーを介してシステムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Service Host Driver" = C:\WINNT\svchost.exe

・以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Command Processor "AutoRun" = C:\WINNT\svchost.exe

・W32/Mydoom@MMと同様に以下のキーも改変され、落とし込まれたDLLファイルが起動時に読み込まれます。

  • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF- 9C87-00AA005127ED}\InProcServer32 "(デフォルト)"

・値が

  • %SystemRoot%\System32\webcheck.dll

から

  • %SysDir%\mssvc.dll

に変更されます。

・また、ローカルホストファイルはW32/Hiton.a@MMによって上書きされます。さまざまなウィルス対策会社に関連するドメイン照合のすべてを、ローカルホスト(127.0.0.1)にリダイレクトします。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足