製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス情報

ウイルス名
W32/Mypics.worm.25600
危険度
対応定義ファイル4057 (現在7607)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.MyPics.c, W32.Video.25600.Worm, W32/Mypics.worm.gen, Win32/Video.worm
発見日(米国日付)99/12/14
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 




新種ウイルスW32/Mypics.worm.25600 への対応のお知らせ(99/12/17)

新種ウイルスW32/Mypics.worm.25600 (別名:TROJ_VIDEO.25600 )につき、対応をお知らせします。これはVisual Basic 5.0で書かれたウイルスであり、ライブラリ ファイルMSVBVM50.DLLが存在するシステムでのみ発動します。2000年以降の毎月17日に発動した場合、ファイルの大量削除という発病が生じます。なおこのウイルスの日本での被害報告は現時点ではありません(弊社調べ)


ウイルス情報

このウイルスはW32/Mypics.wormの亜種です。Visual Basic 5.0で書かれており、ライブラリ ファイルMSVBVM50.DLLを必要とします。このファイルがない場合、ウイルスはエラー終了します。このウイルスは、C:\zip01.exe というファイル名で、自らをローカルマシンにコピーします。さらに以下に示すレジストリ登録により、システム起動時にこれらの実行ファイルが起動されるようにします。

  • Windows 9xの場合

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run Agent5 = c:\zip01.exe

  • Windows NTの場合

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
    Windows\Run Agent5 = c:\zip01.exe

これらのファイルがメモリ上でタスク作動している間に、2つの動作が実行されます。一つは、電子メール・ルーチンを介して繁殖を行うもの、もう一つはシステム時計が(毎月)17日になるのを待って、破壊的なファイル削除ルーチンを作動させるものです。また、このウイルスは、タスクリストの起動によりウイルス・タスクが終了させられないよう、CTRL+ALT+DELオプションを無効化します。なお、タスク無しでWindowsを起動する最良の方法は、セーフ・モードによる起動です。

このウイルスはMS-Outlookを使い、Outlookアドレスブック内のアドレスに向けて、メールによる自己配布を行います。そのメールでは「件名」は空欄のままとなります。メール本文は、"Here's a digital video for you "となります。またVideo.exeという添付ファイル(25,600バイト)が添付されます。

添付ファイルのアイコンはWinzipのそれに類似していますが、実際にはWinZipファイルではありません。

注:WinZipは、デフォルトでインストールした場合、右クリックによる操作を同時に組み込みます。つまり真のWinZipファイルの場合、右クリックによるZIPファイルのオープンが可能です。

9 MS Outlookがログオフされ、少なくとも10分の間クローズされており、その後で再度ログオンされた場合、上記のウイルス配布電子メール・ルーチンが再び作動します。AVERTでは、「Windows95クライアント + OutLook + 個人用アドレス帳(Personal Address Book)(Outlook Address Bookは含まない) 」の環境でテストを行いましたが、その場合でも少なくとも16の宛先について、ウイルスEメール送信が発生しました。

このウイルスがタスクとして動作し、そして日付が17日に変わったことをウイルスが検知した場合、このウイルスは、W32/Mypics.worm.27648と同様に、ローカル・マシンのファイルを削除します。ウイルス内部のASCII文字は、以下のファイルが消去されうることを示しています。

c:\*.c*
d:\*.c*

c:\winnt\system\*.c*
c:\winnt4\system\*.c*
c:\windows\system\*.c*

c:\winnt\system\*.o*
c:\winnt4\system\*.o*
c:\windows\system\*.o*

c:\winnt\*.i*
c:\winnt4\*.i*
c:\windows\*.i*

この発病は、2000年以降の毎月17日に発動します。AVERTでは、Windows95クライアントを使ってテストを行いましたが、1999/12/17には発動せず、2000/1/17には発動いたしました。

なお、このウイルスがメモリ内でアクティブになっている状態で、かつ日付が17日に変わった場合でも、この発病は直ちに起きるわけではありません。しかしシステムが17日に起動された場合は、ウイルスは日付をチェックし、発病ルーチンを作動させます。

テストに使用したWindows95マシンにおいては、PC起動時に、そのままシャットダウン・モードへ移行し、Windowsはセーフモード以外では起動できない状態になりました。ファイルの削除状況を調べたところ、上記のファイルは削除されていました。OCX、CPL、INIファイルも削除されていました。

対処方法

エンジンバージョン4以上の場合
v.4.0.25以降のエンジンに、最新のDATファイルとExtra.DAT組み合わせれば検出と駆除が可能です。

正式DATでは4057より対応します

注:
エンジンバージョンv.4.0.25以降:

  • VirusScan 3x 4.0.2b
  • VirusScan 9x 4.0.3
  • VirusScan NT 4.0.3b
  • Netshield NT 4.0.3b
  • NetShield for NetWare 4.1.0
  • Groupshield Exchange 4.0.3
  • Groupshield Notes 4.0.2
  • WebShield SMTP 4.0.3.1
  • WebShieldX Proxy 4.0.3
  • 検出、駆除が可能
    エンジンバージョンv4.0.02検出が可能

    エンジンバージョンの見分け方

    Extra.datファイルのダウンロード
    DATファイルのダウンロード

    * Ver3 DATでは対応していません。