ウイルス情報

ウイルス名 危険度

W32/Hobbit.b@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4228
対応定義ファイル
(現在必要とされるバージョン)
4412 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 02/10/07
発見日(米国日付) 02/10/02
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法
このウイルスには、4228定義ファイルで対応いたします。4228定義ファイルは02/10/10に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

概要

TOPへ戻る

ウイルスの特徴

  • このウイルスは、ヒューリスティック プログラムを有効にして圧縮ファイルをスキャンすると、現在の定義ファイルで New Worm として検出されます。
  • このウイルスは Visual Basic で作成されており、インターネットの一時ファイルから抽出した電子メール アドレスに自身を送信し、KaZaa のピアツーピア ファイル共有ネットワークを使用して自身を共有して、繁殖しようとします。
  • このウイルスはオリジナルのソース コードを開放しており、自身の複数のコンパイルに誘導します。
  • このウイルスは次のような電子メール メッセージで配信されます。
    差出人変化しますが、AntiVirus@Nai.com かもしれません
    件名AntiVirus Updates:
    本文A Removal to scan for the new BugBear Virus. Recommended by%senders name% (note there is no space after the word "by")
    添付ファイル以下の .theme ファイルから1ファイルと、.theme ファイル以外のファイルから1ファイル
    • aCe1.theme
    • AddamsFamily.them
    • BackstreetBoys.theme
    • BritneySpearsNude.theme
    • ChristinaAguilera.theme
    • CourtneyCoxNude.theme
    • Credit Cards.exe
    • DragonballZ.theme
    • DrNo.theme
    • Goldfinger.theme
    • Hackers.theme
    • JamesBond.theme
    • kn0x.theme
    • LearnHTML.zip
    • LordoftheRings.theme
    • MichelleBranch.theme
    • NicoleKidmanF**k.theme
    • NSync.theme
    • PlayboyCenterFolds.theme
    • SamuraiX.theme
    • Shakira Nude.theme
    • Shrek.theme
    • StarWars.theme
    • temp.theme
    • TheHives.theme
    • XXX.theme

    以下のファイルは .bat、.exe、.pif、または .scr の拡張子を持つことがあります。

    • Anti 0190 Dialer
    • Bearshare_Fix
    • Beyond_FF11
    • Borland Delphi 6 Key
    • Borland Delphi(all) Crack
    • Britney Spears Nude
    • Claudia_Schiffer
    • Cube Emulator
    • Edonkey_Fix
    • Email Bomber
    • Final_Fantasy10
    • Flock_Update
    • FTP Cracker
    • FullSpeed
    • Hotmail Hacker Tool
    • I-Explorer7.0
    • Jenifer Lopez Naked
    • Kaza_Fix
    • Kaza_Lite_Update_Fix
    • McAffea_KeyGen
    • Morpheus_Update_Fix
    • New_Napster_Clone
    • Pamela_Live_F**king
    • Ps2 Crack
    • Ps2 Emulator
    • Reboot
    • Shakira Nude
    • Symantec_KeyGen
    • WinMx Hack
    • WinXP_Crack
    • XBox Emulator
  • 上記の .BAT、.EXE、.PIF、または .SCR ファイルの1つを実行すると、このウイルスは自身を %WinDir% ディレクトリに Shizzle.exe として自身をコピーし、起動時にウイルスが読み込まれるように以下のレジストリ実行キーを作成します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "WinSrv"=C:\WINDOWS\Shizzle.exe
  • メッセージに添付された .theme ファイルも、感染システムに落とし込まれます。これらのファイルには、以下の命令を含む21バイトの BAT ファイルが含まれています。

    @echo off
    ctty nul

  • このウイルスは、PING を使用して www.dokfleed.net に対するサービス拒否攻撃を開始する発病ルーチンを含みます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • ウイルスが実行されると、直後に次のメッセージ ボックスが表示される。

  • 以下のディレクトリが存在する場合、このウイルスはこれらのディルクトリに自身をコピーする。
    • \PROGRAM FILES\KAZAA\MY SHARED FOLDER
    • \KAZAA\MY SHARED FOLDER
  • このウイルスは以下のファイル名を使用する。
    • All GamesHack.exe
    • HotMailHack.exe
    • ICQ Password Hack.exe
    • Macromedia Flash MX.exe
    • Swat 3 Full Download.exe
    • Tacony.exe
    • Unreal Tournament 3 FullDownloader.exe
    • WarCraft III Full.exe
    • WIN XPCrack.exe
  • このウイルスは、デスクトップを隠すシステム ポリシーを与える発病ルーチンを含む。

TOPへ戻る

感染方法

  • このウイルスは、Outlook アドレス帳から電子メール アドレスと、キャッシュされたインターネット web ページ(*.html)に含まれる "mailto" リンクを収集する。収集されたアドレスは、現在のディレクトリにある EMAIL.TXT ファイルに保存される。
  • このウイルスは、以下のレジストリに保存されているデフォルトの SMTP サーバを使用して、MAPI のメッセージ送信と自身の SMTP エンジンを使用し、収集したアドレスに自身を送信しようとする。
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP Server
  • このウイルスは、また、(mirror.ac.uk ドメインにある)リモートURLからファイルをダウンロードし、そのファイルを ZIPPY.EXE としてローカルに保存しようとする。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る