|
|
ウイルス情報ウイルス情報| 種別 | インターネットウイルス | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | 4109 | 対応定義ファイル
(現在必要とされるバージョン) | 4241 (現在7109) | | 対応エンジン | 4.0.70以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Creative.exe:I-Worm.Creative:Prolin-Shockwave:TROJ_SHOCKWAVE:W32.Prolin | | 情報掲載日 | 00/11/30 | | 発見日(米国日付) | 00/11/30 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
- AVERT はこのインターネットウイルスの危険評価を Medium から High に変更しました。
- このインターネットウイルスは、DAT4109 と 4.0.70 エンジンによって検出することができます。
- W32/ProLin@mm は Visual Basic6 においてコード化され、
"CREATIVE.EXE" としてコンパイルされました。"CREATIVE.EXE" は Shockwave Media Player アプリケーションのアイコンで表示されます。 - このインターネットウイルスは、以下の件名と本文を利用し、電子メール経由で受け取られます。
Subject = A great Shockwave flash movie
Body =
Check out this new flash movie that I downloaded just now ... It's Great
Bye
Attachment = creative.exe
- メールに添付された "CREATIVE.EXE" を実行すると、このインターネットウイルスは
自らのコピーをローカルシステムに書き込みます。
c:\creative.exe
c:\[WINDOWS folder]\TEMP\creative.exe
c:\[WINDOWS folder]\Start Menu\Programs\StartUp\creative.exe
- "CREATIVE.EXE" を実行した後W32/ProLin@MMは .JPG と .ZIP ファイルをローカルマシン上から検索し、検出されたファイルを C ドライブのルートに移動させます。ファイルを移動させる際、ファイル名の最後に "change atleast now to LINUX" を追加します。
- このインターネットウイルスは "c:\messageforu.txt" と名付けられたファイルに、ファイルの移動に関する変化を記録します。以下のテキストが、"c:\messageforu.txt"ファイル内にあります。
Hi, guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enough just reverse back the process. i could have done far better damage, i could have even completely wiped your harddisk. Remember this is a warning & get it sound and clear... - The Penguin
- 上記の段落に続いて、オリジナルな位置から移動させられたファイルのリストが付随します。その後、自らのコピーを住所録に登録されているすべてのユーザーにMAPI 電子メールで送ります。そして、最後にこのウイルスは、以下のYahooメールアドレスに対してメッセージを送信します。
Author = z14xym432@yahoo.com
Subject = Job complete
Body = Got yet another idiot
駆除方法
4.0.70 エンジンを使用するVirusScan、WebShield、GroupShield, NetShieldと DAT 4109 により検出が可能です。オンデマンドスキャンを行った後、検出されたすべてのファイルを削除してください。
スキャンが完了した後、"c:\messageforu.txt"を参照して移動されたファイルを元
の位置に戻してください。
|
|
