製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス情報

ウイルス名
W32/newapt.worm
危険度
対応定義ファイル4058 (現在7544)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm/MesMate, TROJ_NEWAPT.WORM, W32.NewApt.worm, W32/NewApt.worm
発見日(米国日付)99/12/14
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/30FakeAV-M.bfr...
08/30Generic.tfr!...
08/30PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 




新種ウイルスW32/newapt.wormへの対応のお知らせ(99/12/17)

新種ウイルスW32/newapt.worm(別名:TROJ_NEWAPT.WORM)につき、対応をお知らせします。「とても愉快なHappy New Year 2000 プログラムとアニメーションです」といった英文メールと共に、悪質ウイルスが送付されます。しかしファイルを削除するなどの悪質な発病は特にありません。アメリカなどで既に被害報告が上がっています。なおこのウイルスの日本での被害報告は現時点ではありません(弊社調べ)


ウイルス情報

このウイルスは、Eメールにより、69,632バイトの添付ファイルの形で流通します。メール本文は、メール・クライアントがHTMLメールをサポートしているかどうかにより異なります。

  • HTMLメールをサポートしている場合

    Hypercool Happy New Year 2000 funny programs and animations...
    We attached our recent animation from this site in our mail ! Check it out !

  • HTMLメールをサポートしていない場合

    he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff

添付ファイルの名前は以下のいずれかの物がランダムに選ばれます。

  • baby.exe,
  • bboy.exe
  • boss.exe
  • casper.exe
  • chestburst.exe
  • cooler1.exe
  • cooler3.exe
  • copier.exe
  • cupid2.exe
  • farter.exe
  • fborfw.exe
  • goal.exe
  • goal1.exe
  • g-zilla.exe
  • irngiant.exe
  • hog.exe
  • monica.exe
  • panther.exe
  • panthr.exe
  • party.exe
  • pirate.exe
  • s.exe
  • saddam.exe
  • theobbq.exe
  • video.exe
またメール本文にはmessagematesゲームプログラムサイトのURLが記載されていますが、このサイトはこのウイルスとは全く無関係な物です。

添付ファイルには特別なアイコンはついておらず、そのため一般実行ファイルのアイコンの形で表示されます。なお、このウイルスが実行されると以下のような偽のエラーメッセージが表示されます。

The dinamic link library giface.dll could not be found in the specified path (ディレクトリ一覧)

「ディレクトリ一覧」の部分には、システム環境変数"path"から取得したディレクトリが一覧表示されます。"path"変数は、Windows 95ではAUTOEXEC.BATに書かれています。WindowsNTではコントロール・パネルから設定が可能です。

この後、ウイルス・ファイルはWindowsフォルダにコピーされます。次回Windows起動時にそのファイルがロードされるようレジストリが改変されます。また実行時には"/X"オプションが付与されます。ウイルス・ファイル名が、例えば"chestburst.exe"となった場合は、Windows95システムのレジストリは以下のようになります。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tpanew = c:\windows\chestburst.exe /x

この後、Windows起動時に、ウイルス・ファイルがロードされることになります。ウイルスがメモリにロードされると、ウイルスは、ローカルシステム内のTAPI32.DLLを利用します。このDLL名は、"Telephony Application Programming Interface" を指しています。これはコネクティビティを管理するDLLです。このウイルスがWindows9xでアクティブになっている場合、以下のDLLが使用されます。

  • C:\WINDOWS\SYSTEM\WSOCK32.DLL
  • C:\WINDOWS\SYSTEM\WININET.DLL
  • C:\WINDOWS\SYSTEM\SHLWAPI.DLL
  • C:\WINDOWS\SYSTEM\USER32.DLL
  • C:\WINDOWS\SYSTEM\GDI32.DLL
  • C:\WINDOWS\SYSTEM\ADVAPI32.DLL
  • C:\WINDOWS\SYSTEM\KERNEL32.DLL
またOutLookなどのEメールアプリケーションが実行されている場合は、TAPI32.DLLもロードされます。

また"prefs.js"というファイルに格納されている情報が活用されている可能性があります。この件の詳細については現在、調査中です。

対処方法

エンジンバージョン4以上の場合
v.4.0.25以降のエンジンに、最新のDATファイルとExtra.DAT組み合わせれば検出と駆除が可能です。

正式DATでは4058より対応します

注:
エンジンバージョンv.4.0.25以降:

  • VirusScan 3x 4.0.2b
  • VirusScan 9x 4.0.3
  • VirusScan NT 4.0.3b
  • Netshield NT 4.0.3b
  • NetShield for NetWare 4.1.0
  • Groupshield Exchange 4.0.3
  • Groupshield Notes 4.0.2
  • WebShield SMTP 4.0.3.1
  • WebShieldX Proxy 4.0.3
  • 検出、駆除が可能
    エンジンバージョンv4.0.02検出が可能

    エンジンバージョンの見分け方

    Extra.datファイルのダウンロード
    DATファイルのダウンロード

    * Ver3 DATでは対応していません。