製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:J
ウイルス情報
ウイルス名危険度
W32/Joleee@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
6033
対応定義ファイル
(現在必要とされるバージョン)
6038 (現在7401)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Email-Worm.Win32.Joleee(Ikarus) Email-Worm.Win32.Joleee.eyt(Kaspersky) WORM_JOLEEE.FX(Trend Micro)
情報掲載日2010/07/12
発見日(米国日付)2010/07/01
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Joleee@MMは、autorun.infを使ってリムーバブルメディアを介して、また、P2Pアプリケーションの共有フォルダに自身をコピーして拡散する大量メール送信型ワームです。

ウイルスの特徴TOPに戻る

------2010年7月9日更新 -----------

ファイル情報

  • MD5 : 911DA7FBE3E835AAE334D38CF610CAAD
  • SHA1 : 2F2E39FC88E14D34D969D37200B13BF29E5365E1

・実行時、以下の場所に自身をコピーします。

  • %Userprofile%\csrss.exe

・また、以下の場所に悪質なファイルをダウンロードします。

  • %userprofile%\Application Data\yftza.exe
  • %WINDIR%\system32\wbem\grpconv.exe [Generic.dx!tcuという名前で検出]
  • %WINDIR%\Temp\wpv611278399858.exe
  • %temp%\~TM4.tmp [Generic.dx!tcuという名前で検出]
  • %temp%\619.exe [ダウンロードファイル「yftza.exe」のコピー]
  • %temp%\096.exe [ダウンロードファイル「yftza.exe」のコピー]

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  • HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\]
    Userini="%Windir%explorer.exe:userini.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    Userini="%WINDIR%\explorer.exe:userini.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
    Taskman="%userprofile%\Application Data\yftza.exe"
  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\]
    Userini="%WINDIR%\explorer.exe:userini.exe"
  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
    Userini="%WINDIR%\explorer.exe:userini.exe"

・上記のレジストリ項目により、Windowsが起動されるたびにW32/Joleee@MMが実行されるようにします。

・以下のファイルが削除されます。

  • %WINDIR%\system32\dllcache\grpconv.exe
  • %WINDIR%\system32\grpconv.exe

・また、explorer.exeに自身のコードを挿入し、リモートポート49000を介してリモートサイト「pica.banj[削除]potice.ru」に接続します。

・また、以下のリモートサイトに接続します。

  • Hjw[削除]qr.cn using remote port 80
  • 91.[削除].102 using remote port 80

・ユーザのシステムの乗っ取り後、ダウンロードされた「wpv611278399858.exe」ファイルは以下の電子メールクライアントを探し、感染マシンから連絡先を収集します。

  • mail.com
  • google.com
  • aol.com
  • yahoo.com
  • hotmail.com

・さらに、SMTPサーバを使って電子メールを検索した連絡先に送信します。

・以下の動作を実行し、電子メールのDoS攻撃を介して他のユーザに拡散します。
感染マシンのIPアドレスの検索
インターネットサービスプロバイダ(ISP)の特定

注:[%WinDir%はWindowsフォルダ(例:C:\windows)、%UserProfile%はWindowsのユーザプロファイルフォルダ(例:C\Documents and Settings\ユーザ]

--------------------------------------------------------------

・実行時、csrss.exeファイルを追加し、さまざまなドメインからファイルのダウンロードを開始します。また、大量メール送信機能が組み込まれており、自身のコピーが添付された電子メールをシステムで収集した電子メールアドレスに送信します。

・以下のファイルがW32/Joleee@MMによって追加されます。

  • C:\Documents and Settings\<ユーザ名>\csrss.exe
  • C:\Documents and Settings\<ユーザ名>\Application Data\yftza.exe
  • C:\Documents and Settings\<ユーザ名>\Local Settings\Temp\050.exe
  • C:\Documents and Settings\<ユーザ名>\Local Settings\Temp\773.exe
  • C:\Documents and Settings\<ユーザ名>\Local Settings\Temporary Internet Files\Content.IE5\24U5ZL30\kurcina[1].exe
  • C:\Documents and Settings\<ユーザ名>\Local Settings\Temporary Internet Files\Content.IE5\TRHYQU1A\update[1].exe
  • C:\WINDOWS\Temp\wpv191277975692.exe

・以下のレジストリの改変が行われます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "userini" Data: C:\WINDOWS\explorer.exe:userini.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "userini"
    Data: C:\WINDOWS\explorer.exe:userini.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Taskman" Data: C:\Documents and Settings\<ユーザ名>\Application Data\yftza.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "userini" Data: C:\WINDOWS\explorer.exe:userini.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "userini"
    Data: C:\WINDOWS\explorer.exe:userini.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"

Data: C:\Documents and Settings\<ユーザ名>\csrss.exe,explorer.exe,C:\Documents and Settings\<ユーザ名>\Application Data\yftza.exe

・以下はW32/Joleee@MMがアクセスするIPです。

188.165.155.233

188.65.74.67

91.211.117.127

212.117.175.3

188.65.74.67

91.207.7.218

207.217.125.16

64.26.60.153

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • W32/Joleee@MMによって送信される電子メールにより、TCPポートでネットワーク活動が見られます。
  • 上記のファイルおよびレジストリ項目が存在します。

感染方法TOPへ戻る
  • 32/Joleee@MMは感染システムで電子メールアドレスを収集し、自身のコピーをこれらのアドレスに送信して拡散します。
  • また、リムーバブルメディアに自身をコピーして拡散します。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足