製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス情報

ウイルス名
W32/Mypics.worm.27648
危険度
対応定義ファイル4058 (現在7548)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.MyPics.b, ICQ_Greetings.exe, W32.Passion.27648, W32/Mypics.worm.27648, W95/Icq_greets.27648, Worm.ICQ_Greetings, Worm.Passion
発見日(米国日付)99/12/10
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/31PWS-Mmorpg.g...
08/31Generic.tfr!...
08/31PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7548
 エンジン:5600
 
ウイルス検索
 




新種ウイルスW32/Mypics.worm.27648への対応のお知らせ(99/12/15)

新種ウイルスW32/Mypics.worm.27648(別名:TROJ_ICQGREETING )につき、対応をお知らせします。これはVisual Basic 5.0で書かれたウイルスであり、ライブラリ ファイルMSVBVM50.DLLが存在するシステムでのみ発動します。2000年の1月中に発動した場合、ファイルの大量削除という発病が生じます。なおこのウイルスの日本での被害報告は現時点ではありません(弊社調べ)

なお、現在、提供しているExtra.datは、もう一つの亜種W32/Mypics.worm.25600にも対応しています。W32/Mypics.worm.25600の詳しい情報は追ってお知らせいたします。


ウイルス情報

このウイルスはW32/Mypics.wormの亜種です。Visual Basic 5.0で書かれており、ライブラリ ファイルMSVBVM50.DLLを必要とします。このファイルがない場合、ウイルスはエラー終了します。このウイルスは、"Icq.exe"および"ICQ_Greetings.exe"というファイル名で、自らをローカルマシンにコピーします。さらに以下に示すレジストリ登録により、システム起動時にこれらの実行ファイルが起動されるようにします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run Icq99b="C:\Icq.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
Windows\CurrentVersion RegisteredOrganization=
"2034 Langley Ct. Holloman Afb, NM 88330"

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
Windows\CurrentVersion RegisteredOwner="Mike Carmody"

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
Windows\Run Icq99b="C:\Icq.exe"

これらのキーは、OSの種類(Windows 9xあるいはWindows NT)に関係なく、作成・改変されます。

これらのファイルがメモリ上でタスク作動している間に、2つの動作が実行されます。1つは特定フォルダのファイル削除を行いながら、電子メール経由で自らを送付する動作です。もう一つは、ドライブをフォーマットしようとする動作です。ただしこちらの動作はAVERT内のテストでは確認されませんでした。

このウイルスは実行時に電子メールを大量配布する機能を有しています。MS Outlookのアドレス帳に登録された上位50の受信者に、自らを送信する動作は、W97M/Melissa ウイルスに類似したコードを用いているように思われます。しかし、このウイルスが作成する電子メールでは、「"Season's Greetings" (Office97 登録ユーザ名)」というメッセージが送付されます。また"ICQ_Greetings.exe"というファイル(27,648 バイト)が添付されます。また、Passion.exeというファイル(同じく27,648 バイト)が添付されていることもあります。Passion.exeのアイコンは、ICQアプリケーションのロードに使われるそれと同一です。

このウイルスがメモリ内で動作している間に、以下のDLLがロードされ、DLL内部ルーチンが使用されます。

C:\WINDOWS\SYSTEM\MSVBVM50.DLL
C:\WINDOWS\SYSTEM\OLEAUT32.DLL
C:\WINDOWS\SYSTEM\OLE32.DLL
C:\WINDOWS\SYSTEM\USER32.DLL
C:\WINDOWS\SYSTEM\GDI32.DLL
C:\WINDOWS\SYSTEM\ADVAPI32.DLL
C:\WINDOWS\SYSTEM\KERNEL32.DLL

また、ウイルス添付ファイルを受信し実行した日付が2000年1月1日であった場合、ファイル削除を行う悪質な発病が生じます。ウイルス内部のASCII文字は、以下のファイルが消去されうることを示しています。

c:\*.c*
d:\*.c*

c:\winnt\system\*.c*
c:\winnt4\system\*.c*
c:\windows\system\*.c*

c:\winnt\system\*.o*
c:\winnt4\system\*.o*
c:\windows\system\*.o*

c:\winnt\*.i*
c:\winnt4\*.i*
c:\windows\*.i*

しかし、AVERTにて、Windows95マシンを使ってテストを行ったところ、実際には、C:\WINDOWS\SYSTEMフォルダおよびサブフォルダの中の全てのファイルが消去されました。隠し属性(HIDDEN)のファイルは消去されませんでした。

またC:\WINDOWSフォルダにおいては、INI設定ファイルおよびINFインストールファイルのうち、隠し属性でない物がすべて削除されました。ファイル削除はA-Zの順に行われました。.DLL、.VXD、.OCXファイルのうち使用中でない物が消去されました。.CPLや一部EXEファイルも消去されました。

またシステム日付を2000年1月30日にしてテストした場合にも同様の発病が生じました。つまり、このウイルスの発病は1月中であれば、日付が何日でも発病する仕様であると思われます。

対処方法

エンジンバージョン4以上の場合
v.4.0.25以降のエンジンに、最新のDATファイルとExtra.DAT組み合わせれば検出と駆除が可能です。

正式DATでは4058より対応します

注:
エンジンバージョンv.4.0.25以降:

  • VirusScan 3x 4.0.2b
  • VirusScan 9x 4.0.3
  • VirusScan NT 4.0.3b
  • Netshield NT 4.0.3b
  • NetShield for NetWare 4.1.0
  • Groupshield Exchange 4.0.3
  • Groupshield Notes 4.0.2
  • WebShield SMTP 4.0.3.1
  • WebShieldX Proxy 4.0.3
  • 検出、駆除が可能
    エンジンバージョンv4.0.02検出が可能

    エンジンバージョンの見分け方

    Extra.datファイルのダウンロード
    DATファイルのダウンロード

    * Ver3 DATでは対応していません。