McAfee for Small Businesses

ウイルス情報 ウイルス名 W32/Mix.2048 種別 ウイルス ファイルサイズ 低 最小定義ファイル (最初に検出を確認したバージョン) 4060 対応定義ファイル (現在必要とされるバージョン) 4060　（現在7080) 対応エンジン 4.0.25以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 VBS/Mix, W32/HTM.H[H04.2048, W32/Mix, W32/Mix.dll.dr 情報掲載日 00/02/04 補足 Personal Web Serverが導入されている場合、影響大 発見日（米国日付） 00/01/04 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/19 RDN/Generic ... 05/19 Generic Down... 05/19 RDN/Download... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

JSコンポーネントは、デバッグのスクリプトファイルを書き込むために、IEのセキュリティ設定に弱点を作ります。セキュリティレベルが「中」に設定されていると、以下のような警告メッセージが表示されます。

C:\Windows
C:\My Documents
C:\Windows\Desktop
C:\Windows\Web
C:\Mis Documentos
C:\Windows\Help
C:\Windows\Escritorio
C:\Win2000\Web
C:\Win2000\Help
C:\Program Files\Internet Explorer\Connection Wizard
C:\Program Files\Microsoft Office\Office\Headers
C:\Inetpub\wwwroot

システムに"Personal Web Server"がインストールされている場合、"Inetpub"フォルダが感染すると、その被害は重大です。このフォルダの中のファイルが感染し、イントラネットに保存されると、感染が瞬く間に広がってしまいます。また、以上のファイル名により、Windows 9xの英語版、スペイン語版との互換性も備えています。

この後、このウイルスがローカルコンピュータに以下のファイルを書き込みます。
c:\[H4[H04.DLL
c:\README.BAT
c:\SEXYNOW!.BAT
c:\WINDOWS\Favorites\FreeSex.Hypererotika.URL

上記URLの中に、本ウイルスの作者のWebページへのブックマークが作成されます。DLLファイルは、実際はデバッグスクリプトであり、真のDynamic Link Libraryファイルではありません。このファイルを実行すると、いずれかのBATファイルが"c:\import.exe"あるいは"c:\supersex.exe"という名前で、dropper EXEファイルを作成し、その後このEXEファイル（PE infectorを含む）を実行します。このファイルのサイズは4096バイトです。インストールされているWindowsの言語によって、追加ファイルが作成されます。スペイン語版であれば、HELP.BATというファイルがc:\windows\escritorio\help.batというファイル名でデスクトップにコピーされます。

Internet Explorerのセキュリティレベルが、レジストリの改変によって下げられるため、悪質なスクリプトを受信した場合、それが起動してしまいます。つまり、AxtiveXスクリプトを受け入れるかどうかの確認メッセージも表示されません。