ウイルス情報

ウイルス名 危険度

W32/Holar.h@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4267
対応定義ファイル
(現在必要とされるバージョン)
4362 (現在7633)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/05/29
発見日(米国日付) 03/05/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Holar.h@MMは、定義ファイル4266と4.2.40エンジンを使用して圧縮ファイルをスキャンすると(デフォルトのスキャンオプションです)、“New MSVB P2P worm”(特定のワーム名ではなく、ワームの総称)として検出されます。

・W32/Holar.h@MMは、これまでに発見された亜種と非常によく似ています。電子メールおよびピアツーピアネットワーク上の共有で繁殖します。

・このワームは、以下のような3つのファイルによるサンドイッチ状の構造です。

  • ドロッパコンポーネント|繁殖コンポーネント|SMTPライブラリ

・ドロッパコンポーネントが残りのコンポーネントを落とし込み、実行します。

  • 繁殖コンポーネント:56,614バイト
  • SMTPライブラリ:25,737バイト

・ドロッパコンポーネントおよび繁殖コンポーネントの文字列から、W32/Holar.h@mmは以下のような電子メールメッセージで届くと考えられます。

送信者:Dispatch@McAfee.com

・以下のような、さまざまな件名と本文が使用されます。

'''*< Love Speaks it all >*'''

Co0o0o0o0oL

Fw:

Heeeeeeeeeeeeeeeey

Wussaaaaaaaap?

WoW But not for NoW

y0 Ain't Got Shyt !

Why Do We FOk?

Heeelllooo , anybody home????

Why did u send me this shyt?

Re:Hi

Lo0o0o0o0o0o0o0o0o0o0o0o0oL

hurry up !!!

To Early To Have Sex!

Fw:Send it to all of the ppl u love

Surpise !

Again?

Who are you??????

Hummm , i hope u accept this show as an apology.

I've Got it :)

Helloooooooo

If u are booooored ...

Dispatch@McAfee.com

添付ファイル:以下のリストから、さまざまなファイル名が選択されます(電子メールメッセージの件名と本文に合わせて選択されます)。

  • Aint_it_Funny.pif
  • AniMaL_N_Burning_Ladies.pif
  • Beauty_VS_Your_FaCe.pif
  • Broke_ass.pif
  • Come_2_Cum.pif
  • Endless_life.pif
  • Famous_PpL_N_Bad_Setuations.pif
  • Gurls_Secrets.pif
  • HAwa.pif
  • HaWawi_N_Hawaii.pif
  • Hearts_translator.pif
  • Hot_Show.pif
  • How_to_improve_ur_love.pif
  • Leaders_Scandals.pif
  • Lo0o0o0o0oL.pif
  • Real_Magic.pif
  • Shakiraz_Big_ass.pif
  • Short_vClip.pif
  • Sweet_but_smilly.pif
  • Tears_of_Happiness.pif
  • Tedious_SeX.pif
  • Teenz_Raper.pif
  • The_Truth_of_Love.pif
  • ToolAv01w32.pif
  • unfaithful_Gurls.pif
  • White_AmeRica.pif
  • XxX_Mpegs_Downloader.pif

・添付ファイルを実行すると、ローカルシステムに感染します。WINDOWS SYSTEMディレクトリに、以下のファイルを抽出します。

  • explore.exe(24,064バイト)
  • SMTP.ocx(25,737バイト)

・レジストリ実行キーを作成して、システムの起動時にワームを読み込みます。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "Explore" = C:\WINDOWS\SYSTEM\EXPLORE.exe

・WINDOWS SYSTEMディレクトリにも、上記の電子メールの添付ファイルの名前を使用して自身をコピーします。WINDOWS SYSTEMディレクトリをデフォルトの共有フォルダとして使用するように、KaZaaを設定します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルが存在します。

・以下のレジストリ値のカウンタを作成します。

  • HKEY_CURRENT_USER\DeathTime = %Run count%

・実行回数が30を超えると、ローカルシステム上のすべてのファイルを削除し、以下のメッセージボックスを1つずつ表示します。最後のメッセージボックスのOKをクリックすると、システムが再起動します。

TOPへ戻る

感染方法

・W32/Holar.h@MMは、電子メールおよびKaZaaピアツーピアファイル共有ネットワークを介して繁殖します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る