製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス情報

ウイルス名
W32/NewApt.worm.c
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4061
対応定義ファイル
(現在必要とされるバージョン)
4061 (現在7515)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.NewApt.C.Worm, W32.NewApt.C2.Worm
情報掲載日00/01/28
発見日(米国日付)99/12/22
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/29RDN/Download...
07/29RDN/Download...
07/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7515
 エンジン:5600
 
ウイルス検索
 




*注意:このウイルスは、1999年12月13日の週に初めて特定された原型のウイルスに、わずかに変更を加えたものです。DATファイル4061では、"W32/NewApt.worm"と総称して検出されます。*

このウイルスは69,633バイト添付ファイルとして電子メールで送信されます。受信者の電子メール アプリケーションがHTMLのメールに対応しているかどうかによって、本文が異なります。本文は2種類あり、HTMLに対応している場合は、以下の本文が表示されます。


http://stuart.messagemates.com/index.html
Hypercool Happy New Year 2000 funny programs and animations...

We attached our recent animation from this site in our mail ! Check it out


HTMLに対応していない場合、以下の本文となります。
he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff
電子メールに添付されるファイルは、以下の中からランダムに選択されます。
baby.exe
bboy.exe
boss.exe
casper.exe
chestburst.exe
cooler1.exe
cooler3.exe
copier.exe
cupid2.exe
farter.exe
fborfw.exe
goal.exe
goal1.exe
g-zilla.exe
irngiant.exe
hog.exe
monica.exe
panther.exe
panthr.exe
party.exe
pirate.exe
s.exe
saddam.exe
theobbq.exe
video.exe

このファイルは "messagemates"というようなゲームプログラムではなく、メールに記載されたURLとは何ら関係ありません。Messagemates.comはこの件に関して、http://stuart.messagemates.com/notice.htmにも告知を出しています。この32ビットファイルにアイコンはなく、COMMAND.COMをはじめとする実行可能なコマンドラインがあるだけです。このウイルスを実行すると、“ダミー”のエラーメッセージが以下のテキストとともに表示されます。

The dinamic link library giface.dll could not be found in the specified path (list of directory names)

ディレクトリ名のリストは、システムの環境変数"path"から取ったものです。この"path"変数はWindows 9xではAUTOEXEC.BATに設定されており、Windows NTではコントロールパネルから設定できます。(注意:"dinamic"は"dynamic"のスペルミスです。)

この後、このコンピュータにMS Outlook Expressがインストールされているかどうかの検査がおこなわれます。インストールされていれば、c:\windowsフォルダの中に、2つのファイルが書き込まれます。

mma. - 電子メールアドレスのリスト
mmail. -MS Outlook Expressのディレクトリ

電子メールアドレスのリストは、Outlook Expressの全フォルダの中から、受信した電子メールを検索して取り出されます。

この後、上記ファイルのうちの1つがWindowsフォルダに保存され、次回、Windowsを再起動するときに"/x"というコマンドラインでそのファイルがロードされるよう、レジストリが改変されます。例えば、"chestburst.exe"という実行可能ファイルを実行すると、Windows 95システム上でのレジストリは以下のようになります。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tpawen = c:\windows\chestburst.exe /x
Windowsの次回起動時に、このファイルがロードされます。ウイルスがメモリにロードされると、しばらく待機し(時間は不定)、"mma."ファイルの中の1つのアドレスに電子メール(フォーマットについては上記参照のこと)を送信します。

このウイルスがWindows 9xシステム上でアクティブになると、以下のDLLが実行されます。

C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WININET.DLL
C:\WINDOWS\SYSTEM\SHLWAPI.DLL
C:\WINDOWS\SYSTEM\USER32.DLL
C:\WINDOWS\SYSTEM\GDI32.DLL
C:\WINDOWS\SYSTEM\ADVAPI32.DLL
C:\WINDOWS\SYSTEM\KERNEL32.DLL

MS Outlookなどの電子メールアプリケーションを使用している場合、さらにTAPI32.DLLが追加されます。

このウイルスは、"mma."ファイルのリストに登録されたユーザあてに電子メールを送信します。"mma."ファイルはまた、MS Outlook Expressの受信ボックスフォルダのほか、Netscapeの電子メールフォルダを検索することによっても作成されます。