ウイルス情報

ウイルス名 危険度

W32/Korvar

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4235
対応定義ファイル
(現在必要とされるバージョン)
4298 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Winevar (AVP), W32.HLLW.Winevar (Symantec), Win32.HLLM.Seoul (Dr. Web), WORM_WINEVAR.A (Trend)
情報掲載日 02/11/26
発見日(米国日付) 02/11/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

2002年11月28日更新情報
このウイルスの感染が拡大しているので、危険度を ”低 [要注意]” に変更しました。

  • この情報を掲載した時点では、W32/Korvar の感染は韓国に集中しています。W32/Korvar は次の電子メールメッセージで届きます。
    件名(ランダム)
    本文(ランダム)
    添付ファイル(3)
    • WIN(ランダムな文字列).TXT (12.6 KB) MUSIC_1.HTM
    • WIN(ランダムな文字列).GIF (120 bytes) MUSIC_2.CEO
    • WIN(ランダムな文字列).PIF
  • このウイルスは、Microsoft Internet Explorer(5.01または5.5 SP2なし)の不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)という脆弱点を利用して、感染した電子メールメッセージを読むだけでウイルスが実行されます。または、Microsoft VM による ActiveX コンポーネントの脆弱性を利用してファイル拡張子 .CEO をレジストリに保存し、添付された .HTM ファイルを実行します。
    • HKEY_CLASS_ROOT\.CEO\Default="exefile"
    • HKEY_CLASS_ROOT\.CEO\Content Type="application/x-msdownload"
  • 添付された .CEO ファイルが実行されると、.EXE ファイルのように処理されます。
  • この .CEO ファイルが実行されると、WINDOWS SYSTEM (%SysDir%) ディレクトリに、"WIN" で始まり ".PIF" で終わるランダムなファイル名で自身をコピーします。次に、コピーされたファイル及びオリジナルの実行ファイルに、以下のレジストリ実行キーを作成します。
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "(Default)"=First infected file run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "WIN random characters"=C:\WINDOWS\SYSTEM\WIN random characters.pif
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "(Default)"=First infected file run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "WIN random characters"=C:\WINDOWS\SYSTEM\WIN random characters.pif
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "(Default)"=First infected file run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "WIN random characters"=C:\WINDOWS\SYSTEM\WIN random characters.pif
  • ウイルスが実行されると、ランダムにメッセージボックスを表示します。

  • "OK" を選択すると、ローカルシステムのすべてのファイルとフォルダを削除しようとします。
  • わずかにバージョン変更された W32/Funlove を SYSTEM ディレクトリに AAVAR.PIF という名前で落とし込みます。最新の定義ファイルを使用すると、落とし込まれたファイルは W32/Funlove.dr として、感染ファイルは W32/Funlove.gen として検出されます。また W32/Korvar に感染すると、"WIN" の後にランダムな文字が続き ".TMP" で終わるファイル名のファイルも作成されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • システムパフォーマンスが低下する。
  • WINDOWS SYSTEM ディレクトリに WIN*.PIF ファイルが存在する。
  • W32/Funlove.gen 及び W32/Funlove.dr ウイルスが検出される。

TOPへ戻る

感染方法

  • このウイルスは、電子メールの添付ファイルで届き、パッチされていないシステムでは自動的に添付ファイルを実行するという周知の Microsoft Internet Explorer の脆弱性を利用している。ウイルスが実行されると、セキュリティソフトを終了させてすべてのファイルを削除しようとする。また、ローカルシステムにある電子メールアドレスを取り込み、SMTP を介して自身を送信する。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る