ウイルス情報

ウイルス名 危険度

W32/MyWife.a@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4342
対応定義ファイル
(現在必要とされるバージョン)
4346 (現在7628)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Nyxem (AVP): W32.Blackmal@mm (Symantec): W32.BlackWorm.A@mm: W32/Mywife.A.worm (Panda): WORM_BLUEWORM.A (Trend)
情報掲載日 04/03/26
発見日(米国日付) 04/03/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

大量メール送信
-- 2004年3月25日 太平洋標準時間 15:16 更新情報 --
・W32/MyWife.a@MMはメディアの注目を集めたので、危険度を“低〔要注意〕”にしました。


・W32/MyWife.a@MMはW32/MyLife@MMに類似しており、作成者が同じ可能性があります。作成者は外部のSMTPエンジンのインプリメントを試みていますが、多くの環境では、完全に利用できていません。W32/MyWife.a@MMにはバグがあるため、一部のシステムでは設計されたとおりに機能しません。

・W32/MyWife.a@MMは電子メールの添付ファイルを介して繁殖します。実際には、メッセージにポルノ画像が含まれている場合があります。コンテンツのフィルタリングには以下のリストを使用します。

・また、W32/MyWife.a@MMは以下のメッセージを含みます。

Dear User ,
This is A very High Resk Virus Alert.
This email is sent to you because one or some of your friends has been infected
with The W32.BlackWorm.A@mm Virus.
And you could be infected too. This Virus has the ability to damage the hard disk.
This Virus infects computers using many new ways :
1- it arrives as an email attachment inside of jpg pictures.
2- it infects the ip address without the victim's knowledge.
3- it infects Microsoft Word Documents using a new exploit in hex (00fxf0xf10x).



Notes:
  • Symantec Consumer products that support Worm Blocking functionality automatically detect this threat as it attempts to spread.
  • Symantec Security Response has attached a removal tool to clean and prevent the infections of W32.BlackWorm.A@mm.

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/MyWife.a@MMが実行されると、以下の偽のエラーメッセージが表示されます。

・W32/MyWife.a@MMは、既存ファイルと同様のファイル名(winrep.exeファイルならwinrep .exe)で、自身をWINDOWS SYSTEMディレクトリにインストールします。次のレジストリ実行キーを作成して起動時にこのファイルを読み込みます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "(デフォルト)" C:\WINNT\SYSTEM32\winrep .exe

・WINDOWSディレクトリにあるTEMPORARYという名前のディレクトリでも同様に実行されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "ISUNINST.EXE" = C:\WINNT\TEMPORARY\ISUNINST.EXE
  • ・別のキーが作成されることもあります。

    • HKEY_CURRENT_CONFIG\Display\Fonts "(デフォルト)" = C:\WINNT\TEMPORARY\IsUninst.exe
    • HKEY_CURRENT_CONFIG\Software\Microsoft "(デフォルト)" = C:\WINNT\SYSTEM32\winrep .exe

    ・OSSMTPエンジンはWINDOWS SYSTEMディレクトリにインストールされます。

    • c:\WINNT\system32\Ossmtp.dll(31,797バイト)
    • c:\WINNT\system32\Oswinsck.dll(11,893バイト)

    ・W32/MyWife.a@MMは自身のコピーを複数作成します。

    TOPへ戻る

感染方法

・W32/MyWife.a@MMは電子メールを介して繁殖します。YahooおよびMSN Messengerで使用されるアドレスと、拡張子.htm、.dbxを含むファイルを収集します。

・また、ソフトウェアの無効化/強制終了/削除を試みます。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る