製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス情報

ウイルス名
W32/Mix.2048
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4060
対応定義ファイル
(現在必要とされるバージョン)
4060 (現在7593)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名VBS/Mix, W32/HTM.H[H04.2048, W32/Mix, W32/Mix.dll.dr
情報掲載日00/02/04
補足Personal Web Serverが導入されている場合、影響大
発見日(米国日付)00/01/04
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/20RDN/Generic....
10/20FakeAV-M.bfr...
10/20FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 




これはJavaScript (JS)とHypertext Markup Language (HTML)でコード化されたウイルスであり、Webページファイル(.HTM、.HTML、.HTT、.ASPの拡張子をもつファイル)に感染します。またこのウイルスは、デバッグ スクリプトを書き込み、DEBUG.EXEプログラムを実装してPE感染ファイルを作成します。PEファイルの感染サイズは2048バイト、HTML感染の場合は23,531バイトになります。

JSコンポーネントは、デバッグのスクリプトファイルを書き込むために、IEのセキュリティ設定に弱点を作ります。セキュリティレベルが「中」に設定されていると、以下のような警告メッセージが表示されます。


Internet Explorer [x] Some software (Active X controls) on this page might be unsafe. It
is recommended that you not run it. Do you want to allow it to run?
[Yes] [No]
ここで"No"を選択すると、ウイルススクリプトは実行されません。"Yes"を選択すると、ウイルスコードが実行されます。この時、このウイルスがハードドライブの中から、感染に使用できるファイルを検索します。検索の順序は以下の通りです。

C:\Windows
C:\My Documents
C:\Windows\Desktop
C:\Windows\Web
C:\Mis Documentos
C:\Windows\Help
C:\Windows\Escritorio
C:\Win2000\Web
C:\Win2000\Help
C:\Program Files\Internet Explorer\Connection Wizard
C:\Program Files\Microsoft Office\Office\Headers
C:\Inetpub\wwwroot

システムに"Personal Web Server"がインストールされている場合、"Inetpub"フォルダが感染すると、その被害は重大です。このフォルダの中のファイルが感染し、イントラネットに保存されると、感染が瞬く間に広がってしまいます。また、以上のファイル名により、Windows 9xの英語版、スペイン語版との互換性も備えています。

この後、このウイルスがローカルコンピュータに以下のファイルを書き込みます。
c:\[H4[H04.DLL
c:\README.BAT
c:\SEXYNOW!.BAT
c:\WINDOWS\Favorites\FreeSex.Hypererotika.URL

上記URLの中に、本ウイルスの作者のWebページへのブックマークが作成されます。DLLファイルは、実際はデバッグスクリプトであり、真のDynamic Link Libraryファイルではありません。このファイルを実行すると、いずれかのBATファイルが"c:\import.exe"あるいは"c:\supersex.exe"という名前で、dropper EXEファイルを作成し、その後このEXEファイル(PE infectorを含む)を実行します。このファイルのサイズは4096バイトです。インストールされているWindowsの言語によって、追加ファイルが作成されます。スペイン語版であれば、HELP.BATというファイルがc:\windows\escritorio\help.batというファイル名でデスクトップにコピーされます。

Internet Explorerのセキュリティレベルが、レジストリの改変によって下げられるため、悪質なスクリプトを受信した場合、それが起動してしまいます。つまり、AxtiveXスクリプトを受け入れるかどうかの確認メッセージも表示されません。

IE Webブラウザ内の様々なゾーンに関するセキュリティレベルについては、以下のサイトをご参照ください。http://support.microsoft.com/support/kb/articles/Q174/3/60.ASP