ウイルス情報

ウイルス名 危険度

W32/Magistr.a@MM

企業ユーザ:
個人ユーザ:
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4128
対応定義ファイル
(現在必要とされるバージョン)
4371 (現在7656)
対応エンジン 4.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Magistr (CA), Magistr (F-Secure), PE_MAGISTR.A (Trend), W32.Magistr.24876@mm (Symantec), W32/Disemboweler (Panda), W32/Magistr-a (Sophos), W32/Magistr@MM
情報掲載日 01/03/21
発見日(米国日付) 01/03/12
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • Magistr対策ナビゲーター

  • 既に感染してしまった場合は、次の対処方法にしたがってウイルスの駆除を行ってください。(→対処方法を見る

      W32/Magistr@MMは、ファイル感染ウイルスとEメールウイルスを結合した構成になっています。

    • ウイルスコードは、Windowsディレクトリおよびそのサブディレクトリの中の、32ビットのPEタイプのファイル(.exe)に感染します。
    • このウイルスのウイルスの部分は、大量メーリング技術を用いて、複数のEメールアドレスに、ウイルス自身を送り付けます。
    • このウイルスは、システム・スタートアップ毎に実行されるよう、自らをインストールします。

      このウイルスが実行された5分後、ウイルスはメール送付ルーチンを試みます。Eメールアドレスは、Windowsのアドレス・ブック、Outlook Expressのメール・ボックス、Netscapeのメール・ボックスから集められます。(既存のメールボックスの中の、Eメールメッセージの中にあるアドレスが集められます。)これらのファイルの場所、およびメールアドレスは、ハードディスクの特定の場所(この場所は一定ではありません)に、.DATファイルという隠しファイルとで保存されます。
      このウイルスが送付するメッセージにおいては、件名、本文、添付ファイル名が一定ではありません。

      メッセージの本文には、感染者のコンピューターのほかのファイルの中身が使われます。 添付ファイルは複数個、送付されることがあります。ウイルス感染EXEファイルのほかに、ウイルスに感染していないファイルも添付されることがあります。Eメールアドレスの”差出人”は、ウイルスにより2文字目の文字を差し替えられる場合があります。これにより、このメールへの返信は間違ったEメールアドレス宛てになり、不可能になります。

      さらにこのウイルスは、Windowsディレクトリ(およびそのサブディレクトリ)の中の、32ビットのPEタイプのファイル(.exe)に感染します。ウイルスコードには、暗号化、ポリモルフィック化が施されています。また検知を困難にするためのアンチ・デバックも施されています。感染ファイルにおいては、Eメールアドレスが暗号化されていました。

      ウイルスコードを復号した場合、以下のコメントが見受けられます。

      ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.
      by: The Judges Disemboweler.
      written in Malmo (Sweden)

      またその他の危険な発病ルーチンとして、システムによっては、ハードディスク・セクタが破壊されたり、cmos/bios情報が消去されるというものがあります。


    亜種情報

      名称種別相違点
      W32/Magistr.dam3ウイルスW32/Magistr.dam3 の検出は、ウイルスが破壊した実行ファイルもカバーしています。それらのファイルは、修復不可能です。削除して、バックアップから修復して下さい。

      TOPへ戻る

  • 以下の症状が見られる場合、このウイルスに感染している可能性があります。

    • .exeファイルのサイズが増えている(24Kb、あるいはそれ以上)
    • .DATファイルが新たに作成されており、その中にEメールアドレスが含まれている場合(この場合、そのメールアドレスにウイルス・メールが送付されています)
    • WIN.INI RUN=(App)での、エントリー
    • レジストリでのエントリーの実行キー値
      HKLM\Software\Microsoft\Windows\CurrentVersion\
      Run\AppName (varies)=C:\WINDOWS\SYSTEM\(App).EXE (varies)

    TOPへ戻る

    感染方法

      このウイルスは、様々なファイル名で、.exeファイルとして配信されます。この添付ファイルを実行すると、そのマシーンは感染し、またこれによりウイルスは繁殖していきます。
      このウイルスは、初回実行時に、WindowsあるいはWindows Systemディレクトリの中に.exeファイルを一つコピーする場合があります。このファイル名は、添付ファイルの名前の最後の一文字を変えたものになります。

      たとえば、CFGWIZ32.EXEが、CFGWIZ31.EXEとなったり、PSTORES.EXEが、PSTORER.EXEとなったりします。(この名前の付け方は、ファイル名の最後の一文字を一つ減らしたもの [ 例:S → R、2 → 1 ] のようです。)

      さらにWIN.INI エントリ、あるいはレジストリのRUNキー値が作成される場合があります。これにより、システムスタートアップ時にこの感染ファイルが実行されます。

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
      CFGWIZ31=C:\WINDOWS\SYSTEM\CFGWZ31.EXE

      このコピーされた実行可能ファイルは、実行時に、Systemディレクトリとサブディレクトリの中の、その他のPE .EXEファイルに感染します。

      このウイルスはローカル・ファイル・システムの中に.DATファイルを作成します。このファイルの中にはファイル文字列が含まれており、これを用いて”.dbx”、”.mbx”、”.wab”からEメールアドレスが収集されます。また、感染対象のリストとなる、Eメールアドレスの行も含まれます。

      このDATファイルは、マシーン名にちなんで、オフセット方法で名付けられます。例として、当てはまる文字のリストを挙げておきます。

      元の文字 当てはまる文字
      ay
      bx
      cw
      dv
      eu
      ft
      gs
      hr
      iq
      jp
      ko
      ln
      mm
      n l
      ok
      pj
      qi
      rh
      sg
      tf
      ue
      vd
      wc
      xb
      ya
      zz

      数字は影響されないので、マシーン名が「ABC-123」なら、ローカルシステムの.DATファイル名は「YXW-123.DAT」となります。

      このウイルスは、自身を他にメール送信する時、返信 eメール アドレスをしばしば変更することがあります。ウイルスによって変更された名称の形はにており、アドレスの一文字は増えたり減ったりします。警告の為に感染ユーザーにコンタクトを試みようとすると、メッセージはしばしばこの変更アドレスに戻ってきます。

    TOPへ戻る

    駆除方法

    TOPへ戻る