ウイルス情報ウイルス情報| ウイルス名 | W32/Mypics.worm.27648
|
| 危険度 | 低 | | 対応定義ファイル | 4058 (現在7080) | | 対応エンジン | 4.0.25以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | I-Worm.MyPics.b, ICQ_Greetings.exe, W32.Passion.27648, W32/Mypics.worm.27648, W95/Icq_greets.27648, Worm.ICQ_Greetings, Worm.Passion | | 発見日(米国日付) | 99/12/10 | |
|
|
新種ウイルスW32/Mypics.worm.27648への対応のお知らせ(99/12/15)
新種ウイルスW32/Mypics.worm.27648(別名:TROJ_ICQGREETING )につき、対応をお知らせします。これはVisual Basic 5.0で書かれたウイルスであり、ライブラリ ファイルMSVBVM50.DLLが存在するシステムでのみ発動します。2000年の1月中に発動した場合、ファイルの大量削除という発病が生じます。なおこのウイルスの日本での被害報告は現時点ではありません(弊社調べ)
なお、現在、提供しているExtra.datは、もう一つの亜種W32/Mypics.worm.25600にも対応しています。W32/Mypics.worm.25600の詳しい情報は追ってお知らせいたします。
ウイルス情報
このウイルスはW32/Mypics.wormの亜種です。Visual Basic 5.0で書かれており、ライブラリ ファイルMSVBVM50.DLLを必要とします。このファイルがない場合、ウイルスはエラー終了します。このウイルスは、"Icq.exe"および"ICQ_Greetings.exe"というファイル名で、自らをローカルマシンにコピーします。さらに以下に示すレジストリ登録により、システム起動時にこれらの実行ファイルが起動されるようにします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run
Icq99b="C:\Icq.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
Windows\CurrentVersion RegisteredOrganization=
"2034 Langley Ct. Holloman Afb, NM 88330"
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
Windows\CurrentVersion RegisteredOwner="Mike Carmody"
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
Windows\Run Icq99b="C:\Icq.exe"
これらのキーは、OSの種類(Windows 9xあるいはWindows NT)に関係なく、作成・改変されます。
これらのファイルがメモリ上でタスク作動している間に、2つの動作が実行されます。1つは特定フォルダのファイル削除を行いながら、電子メール経由で自らを送付する動作です。もう一つは、ドライブをフォーマットしようとする動作です。ただしこちらの動作はAVERT内のテストでは確認されませんでした。
このウイルスは実行時に電子メールを大量配布する機能を有しています。MS Outlookのアドレス帳に登録された上位50の受信者に、自らを送信する動作は、W97M/Melissa ウイルスに類似したコードを用いているように思われます。しかし、このウイルスが作成する電子メールでは、「"Season's Greetings" (Office97 登録ユーザ名)」というメッセージが送付されます。また"ICQ_Greetings.exe"というファイル(27,648 バイト)が添付されます。また、Passion.exeというファイル(同じく27,648 バイト)が添付されていることもあります。Passion.exeのアイコンは、ICQアプリケーションのロードに使われるそれと同一です。
このウイルスがメモリ内で動作している間に、以下のDLLがロードされ、DLL内部ルーチンが使用されます。
C:\WINDOWS\SYSTEM\MSVBVM50.DLL
C:\WINDOWS\SYSTEM\OLEAUT32.DLL
C:\WINDOWS\SYSTEM\OLE32.DLL
C:\WINDOWS\SYSTEM\USER32.DLL
C:\WINDOWS\SYSTEM\GDI32.DLL
C:\WINDOWS\SYSTEM\ADVAPI32.DLL
C:\WINDOWS\SYSTEM\KERNEL32.DLL
また、ウイルス添付ファイルを受信し実行した日付が2000年1月1日であった場合、ファイル削除を行う悪質な発病が生じます。ウイルス内部のASCII文字は、以下のファイルが消去されうることを示しています。
c:\*.c*
d:\*.c*
c:\winnt\system\*.c*
c:\winnt4\system\*.c*
c:\windows\system\*.c*
c:\winnt\system\*.o*
c:\winnt4\system\*.o*
c:\windows\system\*.o*
c:\winnt\*.i*
c:\winnt4\*.i*
c:\windows\*.i*
しかし、AVERTにて、Windows95マシンを使ってテストを行ったところ、実際には、C:\WINDOWS\SYSTEMフォルダおよびサブフォルダの中の全てのファイルが消去されました。隠し属性(HIDDEN)のファイルは消去されませんでした。
またC:\WINDOWSフォルダにおいては、INI設定ファイルおよびINFインストールファイルのうち、隠し属性でない物がすべて削除されました。ファイル削除はA-Zの順に行われました。.DLL、.VXD、.OCXファイルのうち使用中でない物が消去されました。.CPLや一部EXEファイルも消去されました。
またシステム日付を2000年1月30日にしてテストした場合にも同様の発病が生じました。つまり、このウイルスの発病は1月中であれば、日付が何日でも発病する仕様であると思われます。
対処方法
| エンジンバージョン4以上の場合 |
| v.4.0.25以降のエンジンに、最新のDATファイルとExtra.DAT組み合わせれば検出と駆除が可能です。 正式DATでは4058より対応します 注: | エンジンバージョンv.4.0.25以降:VirusScan 3x 4.0.2bVirusScan 9x 4.0.3VirusScan NT 4.0.3bNetshield NT 4.0.3b NetShield for NetWare 4.1.0Groupshield Exchange 4.0.3Groupshield Notes 4.0.2WebShield SMTP 4.0.3.1WebShieldX Proxy 4.0.3 | 検出、駆除が可能 | | エンジンバージョンv4.0.02 | 検出が可能 |
エンジンバージョンの見分け方Extra.datファイルのダウンロード
DATファイルのダウンロード |
* Ver3 DATでは対応していません。
