|
|
ウイルス情報| 種別 | ウイルス | 最小定義ファイル
(最初に検出を確認したバージョン) | 4300 | 対応定義ファイル
(現在必要とされるバージョン) | 4362 (現在7084) | | 対応エンジン | 4.2.40以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | I-Worm.Holar.f (AVP): W32.Galil.F@mm (NAV):
W32/Hawawi.F (F-Prot):
W32/Holar-J (Sophos):
W32/Holar.K.worm (Panda):
Win32.Holar.J (CA):
WORM_HOLAR.F (Trend) | | 情報掲載日 | 04/02/09 | | 発見日(米国日付) | 04/02/06 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| ウイルスの特徴 | TOPに戻る | |
・W32/Holar.r@MMは、定義ファイル4300以降を使用するとW32/Holar.gen@MMとして検出されます。定義ファイル4323では、W32/Holar.r@MMとして検出されるようになります。
・W32/Holar.r@MMは、以下のような3つのファイルによるサンドイッチ状の構造をしています。
ドロッパコンポーネント|繁殖コンポーネント|SMTPライブラリ
- 繁殖コンポーネント:29,183バイト
- SMTPライブラリ:25,736バイト
- ドロッパコンポーネント:67,934バイト
・ドロッパコンポーネントは、他のコンポーネントをドロップ(作成)して、実行します。以下のアイコンとファイルプロパティ情報を使用して、ZIPファイルを装います。
File version:
13.0.0.0
Description:
WinZip Executable
Copyright:
Copyright (c) WinZip Computing, Inc. 1991-2000 - All Rights Reserved
Comments:
StringFileInfo: U.S. English
Company Name:
WinZip Computing, Inc.
Internal Name:
WINZIP32.EXE
Language:
English (United States)
Legal Trademarks:
WinZip is a registered trademark of WinZip Computing, Inc
Original Filename:
WINZIP32.EXE
Product Name:
WinZip
Product Version:
8.0 (3105)
WZ32.DLL:
13,999
WZINET32.DLL:
3,999
WZINFO.DLL:
1,999
・W32/Holar.r@MMが実行されると、以下の偽のエラーメッセージを表示します。
・繁殖コンポーネントの文字列から、W32/Holar.r@MMは、以下のリストから選択した件名と本文のメッセージで届くと考えられます。
- (ローカルシステムから取得したファイル名)
- (空白)
- Fw:
- Re:
- hey
Check this out ;)
- Hey I thought you trusted me but ...
i haven't ever thought i should send u my briefcase to gain ur Trust .
Have it all :) bye
- Hey Wussap?
Here is the Emmy ;) Dont tell Sam abt it
Cya
- Another one?
- Heyyyy
I lost the other email , anyway i sent u all u need
- i have just got it , plz tell me if u need more.
bye
- Heyyyyyyyy Lola Wussaaap??
I forgot to tell u , the other file is with Sam:) bye
- YO DUMP , IM SICK OF UR EMAILS , IF U LOSE IT AGAIN I WONT GIVE IT TO U, SAVE IT
BYEEE
- Hey wussap?
i lost Sara's Email plzz send this file to her :)
and tell her i can't be online tonight
Bye
- heyyy
I can't be online tonight :(
anyway , i sent u something u r gonna love ;)
cya tomorrow
- Hi
i just wanted to say sorry for last night
and .. i wish u accept this as an apology
bye dear
- elegant ppl should satisfy thier taste with elegant things ;)
Wait for more :)
- I've got your email , but you forgot to upload the attachments.
Don't be selfish , i sent you all the files i have, send me anything :(
- heyyyy i tried many times to send u this email but ur account was out of storage as i think
any way , make sure that i didn't and i won't forget u :)
Cya Forgotten :P
- i thing the subject is enough to describe the attached file !
check it out and replay your opinion
- Hiiiiiii
i've got this surprise from a friend :)
it really deserves a few minutes of your time.
- Never mind !
- Attatchments
- See the attatched file
- you seem to be mad @ me coz i didn't send u anything for along time,
i didn't forget u , but i was kinda busy , i've got all of ur emails
thanx :) and i hope u accept this one as an apology.
- gift :)
- Surprise!
- i'm fine , thanx for asking :)
and thanx for the nice attachements.
but unfortunately, i don't remember you
i will be waiting for u emaill to remind me of your self.
Hummm , i hope u accept this show as an apology.
- save it for hard times
- Happy Times :)
- Useful
- Very funny
- hey wuts up?
- i found this amazing file in my Recycled , i know u love this kind of things ;)
cyaaa
- you have to see this!
- amazing!
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る |
・以下のレジストリエントリが存在します。
- HKEY_CURRENT_USER "Cya" =
このエントリは、W32/Holar.r@MMの実行回数のマーカとして使用されます。実行回数が30を超えると、W32/Holar.r@MMはキーボード入力を不能にします。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "NAV Agent"
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "SystemChecker" = %SysDir%\SYSCHK.exe
このエントリは、Windowsの起動時にW32/Holar.r@MMを再実行します。
・以下のファイルが存在します。
- %SysDir%\MizZabbat32.exe(67,934バイト)
- %WinDir%\Sys32s\ZaCker.exe(67,934バイト)
これらのファイルは、ドロッパコンポーネントです。
- %SysDir%\SysChk.exe(29,183バイト)
このファイルは、繁殖コンポーネントです。
- %SysDir%\Smtp.Ocx(25,736バイト)
このファイルは、SMTPライブラリです。
- %WinDir%\Sys32s\Runhelp.cab(6,323バイト)
- %SysDir%\Runhelp.cab(6,323バイト)
これらのCABファイルは、ZaCker.exeファイルを実行するrunhelp.infファイル(107バイト)を含んでいます。W32/Holar.r@MMは、Windows Webフォルダのfolder.httファイルも改変して、Runhelp.cabファイルを実行します。
・W32/Holar.r@MMが大量メール送信発病ルーチンを実行できない場合は、以下のファイルタイプを削除します。
- JPG
- DOC
- PPS
- RAM
- RM
- XLS
- MDB
- RAR
- MPEG
- MPG
- AVI
- MPE
- ASF
|
|
| 感染方法 | TOPへ戻る | |
・W32/Holar.r@MMは、自身のSMTPライブラリコンポーネントを使用して、電子メールで繁殖します。ネットワーク共有を介した繁殖を試みる可能性もありますが、テストでは実行されませんでした。
・添付ファイルのファイル名は、ターゲットマシンに存在するファイル名によって異なります。ファイル名の冒頭部分は、感染した送信者のシステムで発見される既存のファイル名です。ファイルの拡張子には、以下のリストから取得した拡張子を使用します。
- UUE
- MIM
- HQX
- UU
- XXE
- BHX
- EXE
・送信されたファイルは、上記のリストにあるすべての拡張子でWindows Tempディレクトリにコピーされます。EXEファイルは、直接実行可能なドロッパコンポーネントです。他のファイル(95,138バイト)は、実行ファイルのドロッパコンポーネントを含むアーカイブ(WinZipなど)として開かれなくてはいけません。
・宛先および送信者フィールドで使用されるアドレスは、MSNとYahoo Messenger関連のレジストリエントリ、およびMicrosoft Outlookのアドレス帳から取得されます。
・送信されるメッセージは、W32/Holar.r@MMが使用する標準SMTPライブラリのX-Mailerフィールドを含んでいます。
- OstroSoft SMTP Control (4.0.19)
|
|
|
|
|  |
