ウイルス情報

ウイルス名 危険度

W32/Maax@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4248
対応定義ファイル
(現在必要とされるバージョン)
4248 (現在7633)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Axam (AVP):W32.HLLW.Maax@mm (Symantec):W32/MaxaP2P.A (F-Secure)
情報掲載日 03/02/13
発見日(米国日付) 03/02/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Maax@MMは、ウイルス作成者が複数のウイルス対策会社に提出したもので、一般に出回っているウイルスであるかどうかは確認されていません。

・W32/Maax@MMは大量メール送信型ウイルスで、大量メール送信にはMicrosoft Outlookが使用されます。KaZaA、KaZaA Lite、Morpheus、Grokster、BearShare、Edonkey2000、Limewireなどのピアツーピアファイル共有を介しても繁殖します。

電子メールを介した繁殖

・W32/Maax@MMは、以下のような電子メールメッセージで届くことがあります。

件名:以下のいずれか
●Are you a Bussiness man?
●Care to trade world map?
●DAA Holding have an Idea for Bussiness man
●Do you have an enough salaries for you job?
●Don't missed Logon to DAABussiness.com
●Don't waste you money!
●Good Idea For ya!
●Great Job for Professional Programmer
●Hello man!
●Hey, how are you?
●Hi! ;)
●How to make a money in one day?
●How to prevent from Pirate CD!
●HOW TO PREVENT YOUR EMAIL FROM VIRUSES?
●IMPORTANT DISCUSSION!
●Job for you!
●NICE TO MEET YOU!
●No More Blood!
●Trade and Care about customer!
●Who's should be attacked first?

本文:
Hello Mr/Mrs/Sir/Mdm,

I have an Idea for you, This will make your business more efficient. To download this important tips just click here or you can downloaded the files from an attachment.

Regard,
Alexander Joshia
Executive Manager of DAA Holding

添付ファイル: Axam.exe

注:この電子メールメッセージには、ウイルス作成者のWebサイト上のウイルスへのリンクが含まれています。

・添付ファイルが実行されると、次のメッセージボックスが表示されます。


ピアツーピアを介した繁殖

・以下のピアツーピアファイル共有ソフトウェアフォルダに、ウイルスのコピーを作成します。
●\KMD\My Shared Folder\Axam.exe
●\Kazaa\My Shared Folder\Invisible_man.exe
●\KaZaA Lite\My Shared Folder\AjeedNASA.exe
●\Morpheus\My Shared Folder\Blaster.exe
●\Grokster\My Grokster\XXX_HOTSEX.exe
●\BearShare\Shared\fxbgbear.exe
●\Edonkey2000\Incoming\setup_flash.exe
●\limewire\Shared\Super Mario.exe

システムの改変

・ローカルシステム上で2か所にウイルスのコピーを作成します。
●%StartUp Folder%\Axam.exe
●%Application Data%\Axam.exe

・次のレジストリ実行キーを作成して、起動時にウイルスを読み込むようにします。
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "sysaxam32" = %Application Data%\Axam.exe

・デフォルトの.EXEファイルの処理を以下のレジストリキーで変更し、.EXEファイル実行時にウイルスを実行します。
●HKEY_CLASSES_ROOT\Spitmaxa\DefaultIcon "(デフォルト)" = %1
●HKEY_CLASSES_ROOT\Spitmaxa\shell\open\command "(デフォルト)" =
C:\WINDOWS\Application Data\Axam.exe "%1" %*
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "sysaxam32" = C:\WINDOWS\Application Data\Axam.exe
●HKEY_CLASSES_ROOT\.exe "(デフォルト)" = Spitmaxa

発病ルーチン

・以下のプロセスを終了します。
●_Avp32.exe
●_Avpcc.exe
●_Avpm.exe
●Ackwin32.exe
●Anti-Trojan.exe
●Apvxdwin.exe
●Autodown.exe
●Avconsol.exe
●Ave32.exe
●Avgctrl.exe
●Avkserv.exe
●Avnt.exe
●Avp.exe
●Avp32.exe
●Avpcc.exe
●Avpdos32.exe
●Avpm.exe
●Avptc32.exe
●Avpupd.exe
●Avsched32.exe
●Avwin95.exe
●Avwupd32.exe
●Blackd.exe
●Blackice.exe
●ccApp.exe
●Cfiadmin.exe
●Cfiaudit.exe
●Cfinet.exe
●Cfinet32.exe
●Claw95.exe
●Claw95cf.exe
●Cleaner.exe
●Cleaner3.exe
●Cmd.exe
●Command.com
●Dvp95.exe
●Dvp95_0.exe
●Ecengine.exe
●Esafe.exe
●Espwatch.exe
●F-Agnt95.exe
●Findviru.exe
●Fprot.exe
●F-Prot.exe
●F-Prot95.exe
●Fp-Win.exe
●Frw.exe
●F-Stopw.exe
●HH.exe
●Iamapp.exe
●Iamserv.exe
●Ibmasn.exe
●Ibmavsp.exe
●Icload95.exe
●Icloadnt.exe
●Icmon.exe
●Icsupp95.exe
●Icsuppnt.exe
●Iface.exe
●Iomon98.exe
●Jedi.exe
●Lockdown2000.exe
●Lookout.exe
●Luall.exe
●Moolive.exe
●Mpftray.exe
●N32scanw.exe
●Navapw32.exe
●Navlu32.exe
●Navnt.exe
●Navw32.exe
●Navwnt.exe
●Nisum.exe
●Nmain.exe
●Normist.exe
●Nupgrade.exe
●Nvc95.exe
●Outpost.exe
●Padmin.exe
●Pavcl.exe
●Pavsched.exe
●Pavw.exe
●Pccwin98.exe
●Pcfwallicon.exe
●Persfw.exe
●Rav7.exe
●Rav7win.exe
●Regedit.com
●Regedit.exe
●Rescue.exe
●Safeweb.exe
●Scan32.exe
●Scan95.exe
●Scanpm.exe
●Scrscan.exe
●Serv95.exe
●Smc.exe
●Sphinx.exe
●Sweep95.exe
●Tbscan.exe
●Tca.exe
●Tds2-98.exe
●Tds2-Nt.exe
●VControl.exe
●Vet95.exe
●Vettray.exe
●Vscan40.exe
●Vsecomr.exe
●Vshwin32.exe
●Vsstat.exe
●Webscanx.exe
●Wfindv32.exe
●Zonealarm.exe

・C:\AUTOEXEC.BATファイルに以下のコマンドを追加します。

echo off
cls
echo ###################################
echo ...-= AxAm WOrm PreSenT =-...
echo ###################################
pause >>NUL

・ウイルス内のコードから、C:ドライブおよびD:ドライブのフォーマットコマンドも挿入すると思われますが、テストでは実行しませんでした。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・実行ファイルを実行できません

TOPへ戻る

感染方法

・W32/Maax@MMは大量メール送信型ウイルスで、MAPIを使用して、Outlook Address Bookにあるすべての宛先に自身を送信します。また、デフォルトのピアツーピアファイル共有パスを使用して、一般的なピアツーピアプログラムのアプリケーションを介して繁殖します。

TOPへ戻る