ウイルス情報

ウイルス名 危険度

W32/Joleee@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
6033
対応定義ファイル
(現在必要とされるバージョン)
6038 (現在7656)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Email-Worm.Win32.Joleee(Ikarus) Email-Worm.Win32.Joleee.eyt(Kaspersky) WORM_JOLEEE.FX(Trend Micro)
情報掲載日 2010/07/12
発見日(米国日付) 2010/07/01
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Joleee@MMは、autorun.infを使ってリムーバブルメディアを介して、また、P2Pアプリケーションの共有フォルダに自身をコピーして拡散する大量メール送信型ワームです。

TOPへ戻る

ウイルスの特徴

------2010年7月9日更新 -----------

ファイル情報

  • MD5 : 911DA7FBE3E835AAE334D38CF610CAAD
  • SHA1 : 2F2E39FC88E14D34D969D37200B13BF29E5365E1

・実行時、以下の場所に自身をコピーします。

  • %Userprofile%\csrss.exe

・また、以下の場所に悪質なファイルをダウンロードします。

  • %userprofile%\Application Data\yftza.exe
  • %WINDIR%\system32\wbem\grpconv.exe [Generic.dx!tcuという名前で検出]
  • %WINDIR%\Temp\wpv611278399858.exe
  • %temp%\~TM4.tmp [Generic.dx!tcuという名前で検出]
  • %temp%\619.exe [ダウンロードファイル「yftza.exe」のコピー]
  • %temp%\096.exe [ダウンロードファイル「yftza.exe」のコピー]

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  • HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\]
    Userini="%Windir%explorer.exe:userini.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    Userini="%WINDIR%\explorer.exe:userini.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
    Taskman="%userprofile%\Application Data\yftza.exe"
  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\]
    Userini="%WINDIR%\explorer.exe:userini.exe"
  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
    Userini="%WINDIR%\explorer.exe:userini.exe"

・上記のレジストリ項目により、Windowsが起動されるたびにW32/Joleee@MMが実行されるようにします。

・以下のファイルが削除されます。

  • %WINDIR%\system32\dllcache\grpconv.exe
  • %WINDIR%\system32\grpconv.exe

・また、explorer.exeに自身のコードを挿入し、リモートポート49000を介してリモートサイト「pica.banj[削除]potice.ru」に接続します。

・また、以下のリモートサイトに接続します。

  • Hjw[削除]qr.cn using remote port 80
  • 91.[削除].102 using remote port 80

・ユーザのシステムの乗っ取り後、ダウンロードされた「wpv611278399858.exe」ファイルは以下の電子メールクライアントを探し、感染マシンから連絡先を収集します。

  • mail.com
  • google.com
  • aol.com
  • yahoo.com
  • hotmail.com

・さらに、SMTPサーバを使って電子メールを検索した連絡先に送信します。

・以下の動作を実行し、電子メールのDoS攻撃を介して他のユーザに拡散します。
感染マシンのIPアドレスの検索
インターネットサービスプロバイダ(ISP)の特定

注:[%WinDir%はWindowsフォルダ(例:C:\windows)、%UserProfile%はWindowsのユーザプロファイルフォルダ(例:C\Documents and Settings\ユーザ]

--------------------------------------------------------------

・実行時、csrss.exeファイルを追加し、さまざまなドメインからファイルのダウンロードを開始します。また、大量メール送信機能が組み込まれており、自身のコピーが添付された電子メールをシステムで収集した電子メールアドレスに送信します。

・以下のファイルがW32/Joleee@MMによって追加されます。

  • C:\Documents and Settings\<ユーザ名>\csrss.exe
  • C:\Documents and Settings\<ユーザ名>\Application Data\yftza.exe
  • C:\Documents and Settings\<ユーザ名>\Local Settings\Temp\050.exe
  • C:\Documents and Settings\<ユーザ名>\Local Settings\Temp\773.exe
  • C:\Documents and Settings\<ユーザ名>\Local Settings\Temporary Internet Files\Content.IE5\24U5ZL30\kurcina[1].exe
  • C:\Documents and Settings\<ユーザ名>\Local Settings\Temporary Internet Files\Content.IE5\TRHYQU1A\update[1].exe
  • C:\WINDOWS\Temp\wpv191277975692.exe

・以下のレジストリの改変が行われます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "userini" Data: C:\WINDOWS\explorer.exe:userini.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "userini"
    Data: C:\WINDOWS\explorer.exe:userini.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Taskman" Data: C:\Documents and Settings\<ユーザ名>\Application Data\yftza.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "userini" Data: C:\WINDOWS\explorer.exe:userini.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "userini"
    Data: C:\WINDOWS\explorer.exe:userini.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"

Data: C:\Documents and Settings\<ユーザ名>\csrss.exe,explorer.exe,C:\Documents and Settings\<ユーザ名>\Application Data\yftza.exe

・以下はW32/Joleee@MMがアクセスするIPです。

188.165.155.233

188.65.74.67

91.211.117.127

212.117.175.3

188.65.74.67

91.207.7.218

207.217.125.16

64.26.60.153

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • W32/Joleee@MMによって送信される電子メールにより、TCPポートでネットワーク活動が見られます。
  • 上記のファイルおよびレジストリ項目が存在します。

TOPへ戻る

感染方法

  • 32/Joleee@MMは感染システムで電子メールアドレスを収集し、自身のコピーをこれらのアドレスに送信して拡散します。
  • また、リムーバブルメディアに自身をコピーして拡散します。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る