ウイルス情報

ウイルス名 危険度

W32/Neroma@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4253
対応定義ファイル
(現在必要とされるバージョン)
4253 (現在7634)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Neroma@MM (NAV):Worm.Win32.Maro.5632 (Hauri)
情報掲載日 03/09/05
発見日(米国日付) 03/09/03
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

--2003年9月4日更新情報--

・W32/Neroma@MMは、ComputerWorldの記事(First of perhaps many 9/11 viruses ermerges)でメディアの注目を集めたので、危険度を“低[要注意]”に変更しました。

・W32/Neroma@MMはVisual Basicで作成されたワームで、Outlookのアドレス帳に登録されている宛先に自身を送信して繁殖します(Outlookでメッセージを作成し、送信します) 。

総称による検出:4.2.40エンジンおよび定義ファイル4253以降を使用して圧縮ファイルのスキャンを有効にすると、“virus or variant W32/Generic.a@MM”として検出されます。

・定義ファイル4292以降では、W32/Generic.a@MMとして個別のワーム名で検出されます。

電子メールメッセージの特徴

・W32/Neroma@MMは、以下のような電子メールで届きます。

件名: It's Near 911!
添付ファイル: Nerosys.exe (ラベルは911.jpg)
本文: Nice butt baby!

電子メールメッセージの例:

・W32/Neroma@MMが実行されると、以下のファイル名で自身をインストールします。

  • %WinDir%\NEROSYS.EXE

・Windows NT/2000システムでは、以下のレジストリキーを介してシステムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
    CurrentVersion\Winlogon = Explorer.exe nerosys.exe

・Windows 9xシステムでは、SYSTEM.INIシステムファイルを介してシステムの起動をフックします。

  • [boot]
    "shell" = Explorer.exe nerosys.exe

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとレジストリキーが存在します。

TOPへ戻る

感染方法

・Outlookのアドレス帳に登録された宛先に、(Outlookを使用して)自身を電子メールで送信することで繁殖します。

TOPへ戻る

駆除方法

・AVERTはこのウイルスの危険度を「低」と判断しています。

β版ウイルス定義ファイルにはすでに検出機能が含まれています。

・通常定義ファイルがリリースされるまでの間は以下のEXTRA.DATをお使いください。

EXTRA.DAT

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る