ウイルス情報

ウイルス名 危険度

W32/Onamu@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4197
対応定義ファイル
(現在必要とされるバージョン)
4241 (現在7633)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Win32.Onamu.E (CA)
I-Worm.Desos.a (AVP)
I-Worm.Desos.b (AVP)
PE_MOE.A (Trend)
W32/Moe (Panda)
W32/Onamu-B (Sophos)
W95.Stoogy.6031 (Symantec)
情報掲載日 02/04/22
発見日(米国日付) 02/04/16
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このメール大量送信型ウイルスは、Windowsのアドレス帳にある宛先と、キャッシュされているWebページから取得した宛先に自身を送信します。また、ローカル システムの実行ファイルにも感染します。
    このウイルスが起動すると、次のメッセージ ボックスが表示されます。

  • ウイルスのコピーがWindowsディレクトリに保存され、ランダムな5文字の名前と拡張子.EXEが付けられます。システム起動時に自身のプログラムが読み込まれるように、次のレジストリ実行キーが作成されます。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\%FileName_without_extension%=%VirusPath%
  • このウイルスは、Windowsのアドレス帳にあるすべての宛先と、ハード ディスクの*.HT*ファイルにあるMAILTO:の宛先に、SMTPを使用して自身を送信します。デフォルトのSMTPサーバは、次のInternet Account Managerのレジストリ設定から読み出されます。
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager
  • このウイルスによって送信される可能性のある電子メール メッセージは、次の20種類です。

    件名:Seduccion
    本文:Cap.3 El arte de provocar.
    添付ファイル:s_CAP3.EXE

    件名:Humano
    本文:El Ser Humano que pudiste ser.
    添付ファイル:HUMANO.EXE

    件名:Musica
    本文:Esta es la musica que te prometi.
    添付ファイル:MUSIC.EXE

    件名:Mujer
    本文:La mujer mas bella...
    添付ファイル:MUJER.EXE

    件名:Hombre
    本文:Un hombre entero.
    添付ファイル:HOMBRE.EXE

    件名:Confesion
    本文:?Ya sabes que fui yo?.
    添付ファイル:CONFESION.EXE

    件名:Infidelidad
    本文:Las imagenes de tu infidelidad.
    添付ファイル:INFIEL.EXE

    件名:Belleza
    本文:?No estas conforme con tu apariencia?
    添付ファイル:BELLEZA.EXE

    件名:Relaciones casuales
    本文:Esta es la lista para esta semana.
    添付ファイル:LISTArc.EXE

    件名:Tus deseos
    本文:Si te conforman, puedo enviar mas.
    添付ファイル:DESEOS.EXE

    件名:Mi secreto
    本文:Recorda tu promesa!
    添付ファイル:SECRETO.EXE

    件名:La clave
    本文:No la vuelvas a perder, no abuses.
    添付ファイル:CLAVE.EXE

    件名:Enojo
    本文:Cuando veas esto, se te pasa
    添付ファイル:YO.EXE

    件名:Perdon
    本文:Crei que ya lo habia enviado
    添付ファイル:FEOS.EXE

    件名:Responde!
    本文:Nunca respondiste. No seas cruel.
    添付ファイル:PASION.EXE

    件名:Cita
    本文:Me gusto lo que enviaste. Si te gusta, arreglamos.
    添付ファイル:CITA2.EXE

    件名:Papelon
    本文:Te dije que es demasiado gorda. Mira!
    添付ファイル:GORDA.EXE

    件名:Renuncio
    本文:No puedo mejorarlo, ya es perfecto.
    添付ファイル:CUERPO.EXE

    件名:Monstruo
    本文:Ahora te creo. Pobre mujer!
    添付ファイル:MONSTRUO.EXE

    件名:Joven
    本文:Disculpa, sos demasiado joven para mi
    添付ファイル:JOVEN.EXE
  • 差出人は下記の名前からランダムに構成されます。
      ファーストネーム:
    • Mario
    • Enzo
    • Nadia
    • Gabriel
    • Federico
    • Andrea
    • Laura
    • Patricia
    • Osvaldo
    • Sofia
    • Sandra
    • Javier
    • Cristina
    • Pablo
    • Cecilia
    • Ariel
    • Silvia
    • Emilio
    • Flavia
    • Jorge
      ミドルネームのイニシャル:
    • E.
    • M.
    • O.
    • R.
    • T.
    • A.
    • H.
    • P.
    • L.
      ラストネーム:
    • Macchi
    • Rizzo
    • Rodriguez
    • Narvaez
    • Mosquera
    • Montagna
    • Miranda
    • Armitano
    • Kohan
    • Lewin
    • Machado
    • Miller
    • Ibarra
    • Gutierrez
    • Castro
    • Godoy
    • Ferreira
    • Ferrer
    • Chiappe
    • Chiesa
  • ファイル感染ルーチンは、WINDOWSディレクトリおよびサブディレクトリ内の.EXEおよび.SCRファイルに感染します。
  • ウイルス コードから、このウイルスが次の文字列を含むプロセスを停止させることが考えられます(この動作は、テスト時には見られませんでした)。
    • aw
    • av
    • nav
    • pav
    • rav
    • nvc
    • fpr
    • dss
    • ibm
    • inoc
    • anti
    • scn
    • vsaf
    • vswp
    • panda
    • drwe
    • fsav
    • spider
    • adinf
    • explorer
    • sonique
    • sqstart
    • iexplore

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • .EXEファイルと.SCRファイルのサイズが増大する。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る