McAfee for Small Businesses

ウイルス情報 ウイルス名 W32/Mypics.worm.25600 危険度 低 対応定義ファイル 4057　（現在7084) 対応エンジン 4.0.25以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 I-Worm.MyPics.c, W32.Video.25600.Worm, W32/Mypics.worm.gen, Win32/Video.worm 発見日（米国日付） 99/12/14 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

新種ウイルスW32/Mypics.worm.25600 （別名：TROJ_VIDEO.25600 ）につき、対応をお知らせします。これはVisual Basic 5.0で書かれたウイルスであり、ライブラリ ファイルMSVBVM50.DLLが存在するシステムでのみ発動します。2000年以降の毎月17日に発動した場合、ファイルの大量削除という発病が生じます。なおこのウイルスの日本での被害報告は現時点ではありません（弊社調べ）

このウイルスはW32/Mypics.wormの亜種です。Visual Basic 5.0で書かれており、ライブラリ ファイルMSVBVM50.DLLを必要とします。このファイルがない場合、ウイルスはエラー終了します。このウイルスは、C:\zip01.exe というファイル名で、自らをローカルマシンにコピーします。さらに以下に示すレジストリ登録により、システム起動時にこれらの実行ファイルが起動されるようにします。

• Windows 9xの場合

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Run Agent5 = c:\zip01.exe

• Windows NTの場合

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
  Windows\Run Agent5 = c:\zip01.exe

これらのファイルがメモリ上でタスク作動している間に、２つの動作が実行されます。一つは、電子メール・ルーチンを介して繁殖を行うもの、もう一つはシステム時計が（毎月）17日になるのを待って、破壊的なファイル削除ルーチンを作動させるものです。また、このウイルスは、タスクリストの起動によりウイルス・タスクが終了させられないよう、CTRL+ALT+DELオプションを無効化します。なお、タスク無しでWindowsを起動する最良の方法は、セーフ・モードによる起動です。

このウイルスはMS-Outlookを使い、Outlookアドレスブック内のアドレスに向けて、メールによる自己配布を行います。そのメールでは「件名」は空欄のままとなります。メール本文は、"Here's a digital video for you "となります。またVideo.exeという添付ファイル（25,600バイト）が添付されます。

添付ファイルのアイコンはWinzipのそれに類似していますが、実際にはWinZipファイルではありません。

注：WinZipは、デフォルトでインストールした場合、右クリックによる操作を同時に組み込みます。つまり真のWinZipファイルの場合、右クリックによるZIPファイルのオープンが可能です。

9 MS Outlookがログオフされ、少なくとも10分の間クローズされており、その後で再度ログオンされた場合、上記のウイルス配布電子メール・ルーチンが再び作動します。AVERTでは、「Windows95クライアント ＋ OutLook ＋ 個人用アドレス帳（Personal Address Book）（Outlook Address Bookは含まない) 」の環境でテストを行いましたが、その場合でも少なくとも16の宛先について、ウイルスEメール送信が発生しました。

このウイルスがタスクとして動作し、そして日付が17日に変わったことをウイルスが検知した場合、このウイルスは、W32/Mypics.worm.27648と同様に、ローカル・マシンのファイルを削除します。ウイルス内部のASCII文字は、以下のファイルが消去されうることを示しています。

c:\*.c*
d:\*.c*

c:\winnt\system\*.c*
c:\winnt4\system\*.c*
c:\windows\system\*.c*

c:\winnt\system\*.o*
c:\winnt4\system\*.o*
c:\windows\system\*.o*

c:\winnt\*.i*
c:\winnt4\*.i*
c:\windows\*.i*

この発病は、2000年以降の毎月17日に発動します。AVERTでは、Windows95クライアントを使ってテストを行いましたが、1999/12/17には発動せず、2000/1/17には発動いたしました。

なお、このウイルスがメモリ内でアクティブになっている状態で、かつ日付が17日に変わった場合でも、この発病は直ちに起きるわけではありません。しかしシステムが17日に起動された場合は、ウイルスは日付をチェックし、発病ルーチンを作動させます。

テストに使用したWindows95マシンにおいては、PC起動時に、そのままシャットダウン・モードへ移行し、Windowsはセーフモード以外では起動できない状態になりました。ファイルの削除状況を調べたところ、上記のファイルは削除されていました。OCX、CPL、INIファイルも削除されていました。

対処方法