ウイルス情報

ウイルス名 危険度

W32/Hobbit.c@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4228
対応定義ファイル
(現在必要とされるバージョン)
4412 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Win32.Hobbit.G (CA)
情報掲載日 02/10/10
発見日(米国日付) 02/10/04
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このウイルスは、ヒューリスティック プログラムを有効にして圧縮ファイルをスキャンすると、定義ファイル 4127〜4227 で New Worm または New Backdoor として検出されます。定義ファイル 4228 から "W32/Hobbit.c@MM" になります。
  • このウイルスは Visual Basic で作成されており、インターネットの一時ファイルから抽出した電子メール アドレスに自身を送信し、KaZaa のピアツーピア ファイル共有ネットワークを使用して自身を共有して、繁殖しようとします。
  • このウイルスはオリジナルのソース コードを開放しており、自身の複数のコンパイルに誘導します。
  • このウイルスは次のような電子メール メッセージで配信されます。

  • 添付ファイルを実行すると、このウイルスは自身を %WinDir% ディレクトリに Shizzle.exe および Anti-Bug.exe としてコピーします。
  • 起動時にウイルスが読み込まれるように、以下のレジストリ実行キーが作成されます。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "WinSrv"=C:\WINDOWS\Shizzle.exe
  • このウイルスは、PING を使用して www.dokfleed.net に対するサービス拒否攻撃を開始する発病ルーチンを含みます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • このウイルスは、以下のメッセージ ボックスを表示するコードを含む(テスト時には、メッセージ ボックスは表示されませんでした)。

  • このウイルスは、以下のディレクトリが存在する場合、これらのディルクトリに自身のコピーを保存するコードを含む(テスト時には、保存も行われませんでした)。
    • \PROGRAM FILES\KAZAA\MY SHARED FOLDER
    • \KAZAA\MY SHARED FOLDER
  • このウイルスは以下のファイル名を使用する。
    • All GamesHack.exe
    • HotMailHack.exe
    • ICQ Password Hack.exe
    • Macromedia Flash MX.exe
    • Swat 3 Full Download.exe
    • Tacony.exe
    • Unreal Tournament 3 FullDownloader.exe
    • WarCraft III Full.exe
    • WIN XPCrack.exe
  • このウイルスは、デスクトップを隠すシステム ポリシーを与える発病ルーチンを含む。

TOPへ戻る

感染方法

  • このウイルスは、Outlook アドレス帳から電子メール アドレスと、キャッシュされたインターネット web ページ(*.html)に含まれる "mailto" リンクを収集する。収集されたアドレスは、現在のディレクトリにある EMAIL.TXT ファイルに保存される。
  • このウイルスは、以下のレジストリに保存されているデフォルトの SMTP サーバを使用して、MAPI のメッセージ送信と自身の SMTP エンジンを使用し、収集したアドレスに自身を送信しようとする。
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP Server

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る