ウイルス情報

ウイルス名 危険度

W32/Hunch.a@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4184
対応定義ファイル
(現在必要とされるバージョン)
4241 (現在7661)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Hunch (AVP)
W32.Hunch@mm (NAV)
W32/Hunch (Panda)
W32/Hunch.b@MM
W32/Hunch@MM
Win32.Hunch (CA)
Worm/Hunch.B (AVX)
WORM_HUNCH.A (Trend)
情報掲載日 02/02/07
発見日(米国日付) 02/01/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


概要

TOPへ戻る

ウイルスの特徴

  • ヒューリスティック方式でDAT4140以降を使用すると、この脅威はNew BackdoorまたはNew Wormとして検出されます。
  • このメール大量送信型ウイルスは、Microsoft Outlookのアドレス帳にあるすべての宛先に自身を配信し、フロッピー ディスクに自身をコピーして、ローカル システム上にあるファイルを削除します。
  • このウイルスは、次のような電子メールで配信されます。 件名: (実行ファイルの名前。件名は変わります)
    本文: Mensaje importante para(受信者の名前)en el archivo adjunto...
    添付ファイル: (感染した実行ファイルの名前。添付ファイル名は変わります).EXE

    添付ファイルを実行すると、ローカル システムに感染します。

  • 画像を含むウィンドウ(以下参照)が表示されます。

  • このウイルスは、自身のプログラムをTHWIN.EXEおよびMSWORD.EXEとしてWINDOWS SYSTEMディレクトリにコピーします。
  • システムの起動時にウイルス プログラムが読み込まれるように、次のレジストリ キーが作成されます。

    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run\THWIN=C:\WINDOWS\SYSTEM\THWIN.EXE
    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunServices\THWIN=C:\WINDOWS\SYSTEM\THWIN.EXE

  • このウイルスは、次の拡張子を使用して、WINDOWSディレクトリとサブディレクトリにある5つのファイルを削除します。

    * BAK
    * BMP
    * CDX
    * CHM
    * DBF
    * DOC
    * DWG
    * GIF
    * HLP
    * HTM
    * ICO
    * JPG
    * MDB
    * MID
    * MP3
    * SCR
    * TTF
    * WAV
    * XLS

  • このウイルスは、A:ドライブにある既存のファイル名を選択して、自身のコピーをA:\のルートに定期的に保存します(つまり、A:ドライブにtemp.dllファイルがある場合、このウイルスは自身をA:\temp.dll.EXEにコピーします)。元のファイルの属性は隠しファイルに改変されます。このコピーはA:\UNSCH.doc.EXEにも保存されることがあります。
  • AUTOEXEC.BATファイルは、次の命令で上書きされます。 @echo off
    DEL > FORMAT C: /u /v:UNSCH /autotest
  • ウイルスによって行われる操作は、次の2つのファイルに書き込まれ、WINDOWS SYSTEMディレクトリに置かれます。

    * ListWin.txt(ウイルスが削除した最後の5つのファイルが記録されるログ ファイル)
    * WinList.txt(ウイルスが自身のプログラムをA:ドライブにコピーするときに使用したファイル名が記録されるログ ファイル)

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

Windows System ディレクトリに下記のファイルが存在する。
  • THWIN.EXE
  • MSWORD.EXE
  • ListWin.txt
  • WinList.txt

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る