製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:K
ウイルス情報
ウイルス名危険度
W32/Korvar
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4235
対応定義ファイル
(現在必要とされるバージョン)
4298 (現在7544)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Winevar (AVP), W32.HLLW.Winevar (Symantec), Win32.HLLM.Seoul (Dr. Web), WORM_WINEVAR.A (Trend)
情報掲載日02/11/26
発見日(米国日付)02/11/24
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

2002年11月28日更新情報
このウイルスの感染が拡大しているので、危険度を ”低 [要注意]” に変更しました。

  • この情報を掲載した時点では、W32/Korvar の感染は韓国に集中しています。W32/Korvar は次の電子メールメッセージで届きます。
    件名(ランダム)
    本文(ランダム)
    添付ファイル(3)
    • WIN(ランダムな文字列).TXT (12.6 KB) MUSIC_1.HTM
    • WIN(ランダムな文字列).GIF (120 bytes) MUSIC_2.CEO
    • WIN(ランダムな文字列).PIF
  • このウイルスは、Microsoft Internet Explorer(5.01または5.5 SP2なし)の不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)という脆弱点を利用して、感染した電子メールメッセージを読むだけでウイルスが実行されます。または、Microsoft VM による ActiveX コンポーネントの脆弱性を利用してファイル拡張子 .CEO をレジストリに保存し、添付された .HTM ファイルを実行します。
    • HKEY_CLASS_ROOT\.CEO\Default="exefile"
    • HKEY_CLASS_ROOT\.CEO\Content Type="application/x-msdownload"
  • 添付された .CEO ファイルが実行されると、.EXE ファイルのように処理されます。
  • この .CEO ファイルが実行されると、WINDOWS SYSTEM (%SysDir%) ディレクトリに、"WIN" で始まり ".PIF" で終わるランダムなファイル名で自身をコピーします。次に、コピーされたファイル及びオリジナルの実行ファイルに、以下のレジストリ実行キーを作成します。
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "(Default)"=First infected file run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "WIN random characters"=C:\WINDOWS\SYSTEM\WIN random characters.pif
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "(Default)"=First infected file run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "WIN random characters"=C:\WINDOWS\SYSTEM\WIN random characters.pif
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "(Default)"=First infected file run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "WIN random characters"=C:\WINDOWS\SYSTEM\WIN random characters.pif
  • ウイルスが実行されると、ランダムにメッセージボックスを表示します。

  • "OK" を選択すると、ローカルシステムのすべてのファイルとフォルダを削除しようとします。
  • わずかにバージョン変更された W32/Funlove を SYSTEM ディレクトリに AAVAR.PIF という名前で落とし込みます。最新の定義ファイルを使用すると、落とし込まれたファイルは W32/Funlove.dr として、感染ファイルは W32/Funlove.gen として検出されます。また W32/Korvar に感染すると、"WIN" の後にランダムな文字が続き ".TMP" で終わるファイル名のファイルも作成されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • システムパフォーマンスが低下する。
  • WINDOWS SYSTEM ディレクトリに WIN*.PIF ファイルが存在する。
  • W32/Funlove.gen 及び W32/Funlove.dr ウイルスが検出される。

感染方法TOPへ戻る
  • このウイルスは、電子メールの添付ファイルで届き、パッチされていないシステムでは自動的に添付ファイルを実行するという周知の Microsoft Internet Explorer の脆弱性を利用している。ウイルスが実行されると、セキュリティソフトを終了させてすべてのファイルを削除しようとする。また、ローカルシステムにある電子メールアドレスを取り込み、SMTP を介して自身を送信する。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足