製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:H
ウイルス情報
ウイルス名危険度
W32/Holar.r@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4300
対応定義ファイル
(現在必要とされるバージョン)
4362 (現在7600)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Holar.f (AVP): W32.Galil.F@mm (NAV):
W32/Hawawi.F (F-Prot):
W32/Holar-J (Sophos):
W32/Holar.K.worm (Panda):
Win32.Holar.J (CA):
WORM_HOLAR.F (Trend)
情報掲載日04/02/09
発見日(米国日付)04/02/06
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Holar.r@MMは、定義ファイル4300以降を使用するとW32/Holar.gen@MMとして検出されます。定義ファイル4323では、W32/Holar.r@MMとして検出されるようになります。

・W32/Holar.r@MMは、以下のような3つのファイルによるサンドイッチ状の構造をしています。

ドロッパコンポーネント|繁殖コンポーネント|SMTPライブラリ

  • 繁殖コンポーネント:29,183バイト
  • SMTPライブラリ:25,736バイト
  • ドロッパコンポーネント:67,934バイト

・ドロッパコンポーネントは、他のコンポーネントをドロップ(作成)して、実行します。以下のアイコンとファイルプロパティ情報を使用して、ZIPファイルを装います。

File version: 13.0.0.0
Description: WinZip Executable
Copyright: Copyright (c) WinZip Computing, Inc. 1991-2000 - All Rights Reserved
Comments: StringFileInfo: U.S. English
Company Name: WinZip Computing, Inc.
Internal Name: WINZIP32.EXE
Language: English (United States)
Legal Trademarks: WinZip is a registered trademark of WinZip Computing, Inc
Original Filename: WINZIP32.EXE
Product Name: WinZip
Product Version: 8.0  (3105)
WZ32.DLL: 13,999
WZINET32.DLL: 3,999
WZINFO.DLL: 1,999

・W32/Holar.r@MMが実行されると、以下の偽のエラーメッセージを表示します。

・繁殖コンポーネントの文字列から、W32/Holar.r@MMは、以下のリストから選択した件名と本文のメッセージで届くと考えられます。

  • (ローカルシステムから取得したファイル名)
  • (空白)
  • Fw: 
  • Re: 
  • hey
    Check this out ;)
  • Hey I thought you trusted me but ... 
    i haven't ever thought i should send u my briefcase to gain ur Trust .
    Have it all :) bye
  • Hey Wussap?
    Here is the Emmy ;) Dont tell Sam abt it
    Cya
  • Another one?
  • Heyyyy
    I lost the other email , anyway i sent u all u need
  • i have just got it , plz tell me if u need more.
    bye
  • Heyyyyyyyy Lola Wussaaap??
    I forgot to tell u , the other file is with Sam:) bye
  • YO DUMP , IM SICK OF UR EMAILS , IF U LOSE IT AGAIN I WONT GIVE IT TO U, SAVE IT
    BYEEE
  • Hey wussap?
    i lost Sara's Email plzz send this file to her :)
    and tell her i can't be online tonight
    Bye
  • heyyy
    I can't be online tonight :(
    anyway , i sent u something u r gonna love ;)
    cya tomorrow
  • Hi
    i just wanted to say sorry for last night
    and .. i wish u accept this as an apology
    bye dear
  • elegant ppl should satisfy thier taste with elegant things ;)
    Wait for more :)
  • I've got your email , but you forgot to upload the attachments.
    Don't be selfish , i sent you all the files i have, send me anything :(
  • heyyyy i tried many times to send u this email but ur account was out of storage as i think
    any way , make sure that i didn't and i won't forget u :)
    Cya Forgotten :P
  • i thing the subject is enough to describe the attached file !
    check it out and replay your opinion
  • Hiiiiiii
    i've got this surprise from a friend :)
    it really deserves a few minutes of your time.
  • Never mind !
  • Attatchments
  • See the attatched file
  • you seem to be mad @ me coz i didn't send u anything for along time,
    i didn't forget u , but i was kinda busy , i've got all of ur emails
    thanx :) and i hope u accept this one as an apology.
  • gift :)
  • Surprise!
  • i'm fine , thanx for asking :) 
    and thanx for the nice attachements.
    but unfortunately, i don't remember you
    i will be waiting for u emaill to remind me of your self.
    Hummm , i hope u accept this show as an apology.
  • save it for hard times
  • Happy Times :)
  • Useful
  • Very funny
  • hey wuts up?
  • i found this amazing file in my Recycled , i know u love this kind of things ;)
    cyaaa
  • you have to see this!
  • amazing!

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・以下のレジストリエントリが存在します。
  • HKEY_CURRENT_USER "Cya" =
    このエントリは、W32/Holar.r@MMの実行回数のマーカとして使用されます。実行回数が30を超えると、W32/Holar.r@MMはキーボード入力を不能にします。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "NAV Agent"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "SystemChecker" = %SysDir%\SYSCHK.exe
    このエントリは、Windowsの起動時にW32/Holar.r@MMを再実行します。

・以下のファイルが存在します。

  • %SysDir%\MizZabbat32.exe(67,934バイト)
  • %WinDir%\Sys32s\ZaCker.exe(67,934バイト)
    これらのファイルは、ドロッパコンポーネントです。
  • %SysDir%\SysChk.exe(29,183バイト)
    このファイルは、繁殖コンポーネントです。
  • %SysDir%\Smtp.Ocx(25,736バイト)
    このファイルは、SMTPライブラリです。
  • %WinDir%\Sys32s\Runhelp.cab(6,323バイト)
  • %SysDir%\Runhelp.cab(6,323バイト)

これらのCABファイルは、ZaCker.exeファイルを実行するrunhelp.infファイル(107バイト)を含んでいます。W32/Holar.r@MMは、Windows Webフォルダのfolder.httファイルも改変して、Runhelp.cabファイルを実行します。

・W32/Holar.r@MMが大量メール送信発病ルーチンを実行できない場合は、以下のファイルタイプを削除します。

  • JPG
  • DOC
  • PPS
  • RAM
  • RM
  • XLS
  • MDB
  • RAR
  • MPEG
  • MPG
  • AVI
  • MPE
  • ASF

感染方法TOPへ戻る
・W32/Holar.r@MMは、自身のSMTPライブラリコンポーネントを使用して、電子メールで繁殖します。ネットワーク共有を介した繁殖を試みる可能性もありますが、テストでは実行されませんでした。

・添付ファイルのファイル名は、ターゲットマシンに存在するファイル名によって異なります。ファイル名の冒頭部分は、感染した送信者のシステムで発見される既存のファイル名です。ファイルの拡張子には、以下のリストから取得した拡張子を使用します。

  • UUE
  • MIM
  • HQX
  • UU
  • XXE
  • BHX
  • EXE

・送信されたファイルは、上記のリストにあるすべての拡張子でWindows Tempディレクトリにコピーされます。EXEファイルは、直接実行可能なドロッパコンポーネントです。他のファイル(95,138バイト)は、実行ファイルのドロッパコンポーネントを含むアーカイブ(WinZipなど)として開かれなくてはいけません。

・宛先および送信者フィールドで使用されるアドレスは、MSNとYahoo Messenger関連のレジストリエントリ、およびMicrosoft Outlookのアドレス帳から取得されます。

・送信されるメッセージは、W32/Holar.r@MMが使用する標準SMTPライブラリのX-Mailerフィールドを含んでいます。

  • OstroSoft SMTP Control (4.0.19)

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足