製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス情報

ウイルス名
W32/Navidad@M

種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4110
対応定義ファイル
(現在必要とされるバージョン)
4110 (現在7600)
対応エンジン4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名TROJ_NAVIDAD.B, TROJ_NAVIDAD.C, TROJ_NAVIDAD.D, TROJ_NAVIDAD.E, Emanuel, Emmanuel, I-Worm.Navidad, Navidad, TROJ_EMMANUEL, TROJ_NAVIDAD.A, W32.Navidad, W32.Navidad.16896, W32/Navidad-B, W32/Navidad.e@M, W32/Navidad.f@M, W32/Navidad.gen@M, Win32/Navidad.Worm
亜種Emanuel
情報掲載日00/11/11
発見日(米国日付)00/11/03
駆除補足以下、本文を御参照くださいウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


  • 2002年4月12日更新情報
    W32/Navidad.e@Mのマイナー亜種が最近報告されました。そのファイルは、W32/Magistr@MMの非活動の残留物を持っています。これは、定義ファイル4110以上でW32/Navidad.e@Mとして検出されます。

  • W32/Navidad@Mはインタネットウイルスです。MAPI Outlookを介して繁殖します。

  • このウイルスに感染したユーザーにメールを送ると、それへの返信として、NAVIDAD.EXEという添付ファイル付きのウイルス・メールが返信されてきます。

  • この添付ファイルをクリックして実行すると、以下のようなメッセージボックスが表示されます。

  • また画面右下のシステムトレイに、青い目のアイコンが表示されます。

  • このアイコンにカーソルが当ると、"Lo estamos mirando..." (私たちはそれを見張っています)と表示されます。

  • 続いて、トロイの木馬ファイル"winsvrc.vxd"がWINDOWSのSYSTEMディレクトリにコピーされます。

  • そして、以下のレジストリキーが作成されます。

    • HKEY_CURRENT_USER\SOFTWARE\Navidad

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Win32BaseServiceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe

    • HKEY_CLASSES_ROOT\exefile\shell\open\command\ (default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %*

    • HKEY_LOCAL MACHINE\Software\CLASSES\exefile\shell\open\command\ (default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %*

    なお、上記のエントリでは、ウイルスによる改変以前の値は"%1" %* です。

  • これらのレジストリ値は、誤まったファイル拡張子を使用しており、そのため、あらゆるEXEファイルを実行しようとした時に、エラーメッセージが表示されます。

  • この問題は以下の手順を踏めば回避できます。

    1. MS-DOSプロンプトを開く
    2. Windowsディレクトリへ進む
    3. REGEDIT.EXEをREGEDIT.COMとしてコピーする
    4. スタートメニューからREGEDITを起動する
    5. レジストリ・パスをブラウズして上記の不正なエントリを削除する

  • このウイルスはシステムから停止させることができます。Navidadの動作中に、システムトレイの目のアイコンをクリックしてください。するとNunca presionar este boton(このボタンを絶対に押さないこと)と書いた大きなボタンつきのダイアログボックスが表示されます。この場合は、ボックス右上の[ × ] マークをクリックしてください。

  • さらにメッセージボックスが表示されます。やはり[ OK ] ボタンを押してください。そうすればウイルス・プログラムは終了し、青い目のアイコンも表示されなくなります。

    (訳:残念ながら誘惑に負けてしまいましたね。あなたのコンピュータは破壊されます)


駆除方法

  • ウイルスによって改ざんされたレジストリは、エンジン4110以上を使用することによって修復できます。
    エンジン4070はこのウイルスを削除できますが、レジストリは正しくありません。

  • ただし、ウイルスが書き換えたレジストリの修復については、以下のツールをお使いください。

    W32/Navidad@M修復ツール(UNDO.ZIP)

    使用方法

    1. UNDO.ZIPをダウンロードする。
    2. UNDO.REGを解凍し、それをスタートアップ(STARTUP)フォルダにコピーする
    3. マシンを再起動する

  • 補足:手動によるレジストリ修復の方法

    このトロイの木馬を削除する手順はオペレーティングシステムのどこにそれが潜んでいるかにより決まります。

    AVERTが発見した1つの方法は、レジストリを編集するプログラムを 元の .EXEファイルから .COMの拡張子を持ったファイルにコピーすることです。(例えばREGEDIT.COMに)これはレジストリを編集する前にトロイの木馬を削除することによって作り出された制限を意味のないものにしてしまうことができます。例えばWindows 95/98 ではREGEDIT.EXE、Windows NTでは REGEDT32.EXEといったプログラムでレジストリを読み込んだり編集することができます。これらの拡張子を .COMに変更してもプログラムとして実行することができ、トロイの木馬が参照するものやインタネットのウイルスを削除することができます。

    1. ウィルススキャンによって発見されたトロイの木馬に関連するファイルがどれであるか調査してください。この段階ではまだそのトロイの木馬を削除してはいけません。

    2. コマンドプロンプトを起動し、cd windows(winnt)と入力し、ENTERキーを押します。

    3. COPY REGEDIT.EXE REGEDIT.COM とコマンドを打ちさらにその後 EXITを入力しENTERキーを押します。

    4. メニューから「ファイル名を指定して実行」を選択し REGEDITと入力します。
    5. レジストリの以下のキーでトロイの木馬が参照している部分を削除してください。

      HKEY_CLASSES_ROOT\exefile\shell\open\command\
      HKEY_LOCAL MACHINE\Software\CLASSES\exefile\shell\open\command\

      [''%1'' %*]だけを残してあとは削除してください。ただし角括弧[ ]は除きます。

    6. トロイの木馬の本体を動かす以下のキーを全て消してください。
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

    7. REGEDITを終了します。

    8. REGEDIT.COMを削除します。

    9. そのシステムを再起動させます。

    亜種
    亜種名 種類1 種類2 差異
    Emanuel ウイルス インターネット
    ウイルス
    4109 DATで検出可能です。
    添付ファイル名 : Emanuel.exe
    • 「winsvrc.exe」のかわりに「Wintask.exe」というファイル名がつけられています。
    • ファイル名のバグが修正されました。それにより、EXEファイルを開けようとするたびに、ウイルスの中で、ウイルスが追加実行を起動しようとするようになります。
    • タスクトレイに『菊の花』のアイコンが表示されます。
    • 「 ;) 」の文字の含まれたエラーメッセージを表示します。
    • 「Emmaneul.....」という題のメッセージボックスが表示されます。メッセージには「Emmanuel-God is with us!May god bless u.And Ash, Lk and LJ!!」と表示されます。