製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス情報

ウイルス名
W32/NewApt.worm.d
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4061
対応定義ファイル
(現在必要とされるバージョン)
4061 (現在7548)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.NewApt.d, Mike.2000, W32.NewApt.Worm.d, Worm.NewApt.d
情報掲載日00/03/10
発見日(米国日付)00/01/11
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/31PWS-Mmorpg.g...
08/31Generic.tfr!...
08/31PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7548
 エンジン:5600
 
ウイルス検索
 




*注意:このウイルスは1999年12月13日の週に、初めて特定したオリジナルのウイルスに若干の変更を加えたものです。この亜種のウイルスもまた、ポルノ画像へのリンクとファイル名を含んでいます。このウイルスは、4061DATファイルでスキャンすると、総称して"W32/NewApt.worm"として検出されます。

このウイルスは73,728バイトの電子メールで送信されます。そして、電子メールアプリケーションがHTMLの本文に対応しているかどうかによって、以下の2つのメッセージのうちのどちらかが表示されます。HTMLに対応していれば、以下の本文になります。

--------------------------------------------------------------------------------

http://stuart.messagemates.com/index.html
Hypercool Happy New Year 2000 funny programs and animations...

We attached our recent animation from this site in our mail ! Check it out

--------------------------------------------------------------------------------

上記のハイパーリンクは、実際に"Elephantlist"というセックス関連のWebサイトにリンクしています。

電子メールクライアントがHTMLに対応していなければ、以下の本文が表示されます。

--------------------------------------------------------------------------------

he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT
stuff
--------------------------------------------------------------------------------

電子メールにはファイルが添付されていますが、そのファイル名は以下のリストからランダムに選択したものです。
Amateur.exe
Asians.exe
Babes.exe
Bizarre.exe
Blowjob.exe
Cartoons.exe
Cumshot.exe
Ebony.exe
Fatladies.exe
Fetish.exe
Gay.exev Group.exe
Hardcore.exe
Hidcam.exe
Hidcams.exe
Lesbians.exe
Male.exe
Mature.exe
Miscellan.exe
Mixedbag.exe
Pornstars.exe
Pregnant.exe
Shemales.exe
Toys.exe
Weird.exe

このファイルは"messagemates"ゲームプログラムではありません。またメール本文に記載されているWebサイトとは一切関係ありません。Messagemates.comもまた、同社のWebサイト( http://stuart.messagemates.com/notice.htm)にこの件に関する告知を載せています。この32ビットのファイルにアイコンはなく、あるのはCOMMAND.DOMのような、コマンドライン実行可能ファイルだけです。このウイルスを実行すると、以下のテキスト文で、“ダミー”のエラーメッセージが表示されます。

The dinamic link library giface.dll could not be found in the specified path (ディレクトリ名のリスト)

このディレクトリ名のリストは、Windows 9xのAUTOEXEC.BATで設定される、システム環境変数"path"から取得したもので、Windows NTではコントロールパネルで設定できます。注意:"dynamic"はスペル間違いです。

この後、このコンピュータにMS Outlook Expressがインストールされているかどうかの検査が始まります。MS Outlook Expressを発見すると、以下の2つのファイルがc:\windowsフォルダに書き込まれます。

mma. - 電子メールアドレスのリスト
mmail. - MS Outlook Expressのディレクトリ

電子メールアドレスのリストは、Outlook Expressの全フォルダから受信メッセージを検査して取得したものです。

その後、あるファイルがWindowsフォルダに保存され、次回のWindows起動時にこのファイルをロードするよう、レジストリがコマンドラインオプション"/x"を付けた状態に改変されます。例えば、実行可能ファイル"chestburst.exe"を実行すると、Windows 95システムのレジストリエントリが以下のように改変されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tpawen = c:\windows\chestburst.exe /x

次回のWindows起動時に、このファイルがロードされます。ウイルスがメモリにロードされると、しばらくの間(時間は不定)待機し、冒頭で説明した本文をもつ電子メールを"mma."ファイルのリストの中から1つのアドレスに宛てて送信します。

このウイルスがWindows 9xシステムでアクティブな状態にある間に、以下のDLLが実装されます。

C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WININET.DLL
C:\WINDOWS\SYSTEM\SHLWAPI.DLL
C:\WINDOWS\SYSTEM\USER32.DLL
C:\WINDOWS\SYSTEM\GDI32.DLL
C:\WINDOWS\SYSTEM\ADVAPI32.DLL
C:\WINDOWS\SYSTEM\KERNEL32.DLL

MS Outlookをはじめとする電子メールアプリケーションを使用している場合、TAPI32.DLLもロードされます。

このウイルスは自らを"mma."ファイルにリストされたユーザに電子メールで送信します。"mma."ファイルは、このウイルスがOutlook Expressの受信フォルダの他にも、Netscapeの電子メールフォルダから入手可能なアドレスを解析して作成します。