ウイルス情報

ウイルス名 危険度

MultiDropper-FD

企業ユーザ: 低
個人ユーザ: 低
最小定義ファイル
(最初に検出を確認したバージョン)
4242
対応定義ファイル
(現在必要とされるバージョン)
4376 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/01/07
発見日(米国日付) 03/01/06
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・1月9日更新情報
AVERTでは、このウイルスの新しいバージョンの報告を受けました。これは、感染マシンに W32/Sobig@MM を落とし込みます。このバージョンのマルチドロッパを検出するには4242DATが必要です。

・MultiDropper-FDはトロイの木馬で、実行ファイルCALC.EXE(Windows calculatorアプリケーション)とVBScriptウイルスを意図して作成されたファイル(正しく機能しません)を内蔵しています。MultiDropper-FDは、最新の定義ファイルを使用するとVBS/Generic@MMとして検出されます。

・AVERTでは、このウイルスのファイル名にMcAfee-Antivirus.exeを使用しているという報告を数件受けています。

・このトロイの木馬が実行されると、CALC.eXEファイルとVirus-Free.vBSファイルを抽出して実行します。CALC.eXE(98,064バイト)は、Windows calculatorのVer.4.90.3000.1です。Virus-Free.vBS(2,133バイト)は、大量メール送信型ウイルスを意図して作成されており、VBS/LoveLetterの亜種です。

・以下の複数のメッセージボックスを表示します。






・Outlook Address bookのすべてのアドレスに次の電子メールを送付しようとします。

件名: ILOVEYOU

本文: McAfee contest winner. You have won a free edition of our new anti-virus software. Please download this ANTIVIRUS FILE.

添付ファイル: Virus-Free.vbs

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・MultiDropper-FDは、ユーザにhttp://www.nightsurf.com/を閲覧するよう指示し、C:\ドライブに以下のファイル名で自身をコピーする。

●c:\Braceface.vbe
●c:\Braceface.vbs
●c:\Virus-Free.vbs

TOPへ戻る

感染方法

・トロイの木馬は自己複製せず、有能な機能を持っているように見せかけた実行ファイルをユーザが手動で実行することで繁殖する。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布される。

TOPへ戻る