ウイルス情報

ウイルス名 危険度

W32/Pepex.a@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4223
対応定義ファイル
(現在必要とされるバージョン)
4233 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Pepex (AVP), W32.Jonbarr@mm (Symantec), Win32.PiBi.A@mm (BitDefender)
情報掲載日 02/09/17
発見日(米国日付) 02/09/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法
このウイルスには、4223定義ファイルで対応いたします。4223定義ファイルは02/09/19に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

概要

TOPへ戻る

ウイルスの特徴

  • W32/Pepex.a@MM は、定義ファイル 4120 以降でヒューリスティックを有効にして圧縮ファイルをスキャンすると、New Worm として検出されます。この情報掲載の時点では、AVERT ではこのウイルスの一般からのサンプルを受け取っていません。
  • この大量メール送信型ウイルスは、キャッシュに保存された Web ページからアドレスを取得し、IRC(Internet Relay Chat)と KaZaa ピアツーピア ファイル共有ネットワークを介して繁殖しようとします。次のような電子メール メッセージで届きます。
    件名Hello
    本文 You will find all you need in the attachment.
    添付ファイルSetup.exe
  • 添付ファイルが実行されると、このウイルスは文字列 "av" または "AV" を含むメモリ内のプロセスを終了させます。自身のコピーを WINDOWS SYSTEM ディレクトリに WINSYS#.EXE として保存します(# は 2 桁または 3 桁の数字)。システム起動時に自身のプログラムが読み込まれるように、次のレジストリ実行キーを作成します。
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Windows task32 sys=%Worm Path%
  • このウイルスは、WINDOWS SYSTEM ディレクトリに落とし込んだ .EXE ファイルと同じ名前を持つ自身の .ZIP 版を、WINZIP32.EXE を使用して WINDOWS SYSTEM ディレクトリに作成しようとします。次に、mIRC の script.ini ファイルを、感染ユーザと同じチャンネルに参加するユーザに .ZIP 版を送信する命令で上書きします。感染システムに WINZIP32.EXE がインストールされていない場合、この SCRIPT.INI 命令は失敗します。
  • このウイルスは、自身の base64 でエンコードされたコピーを、MSBOOTLOG.SYS としてルート ディレクトリに作成し、電子メール送信に利用します。Temporary Internet Files ディレクトリおよびサブディレクトリ内の *.HTM ファイルから取得した電子メール アドレスに自身を送信しようとします。
  • このウイルスは、レジストリ内で KaZaa の転送ディレクトリを照会します。その後、次のファイル名を使用して、指定フォルダに自身のコピーを作成します(注:フォルダが指定されない場合、ファイルはルート ディレクトリに作成されます)。
    • icq2002.exe
    • wincrack.exe
    • winamp.exe
    • mirc6.exe
  • 感染後、次のレジストリ キー値が作成されます。
    • HKEY_LOCAL_MACHINE\Software\RedCell\infected=yes

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 日付が9月15日になると、次のメッセージ ボックスが表示される。

TOPへ戻る

感染方法

  • このウイルスは、電子メール、IRC、または KaZaa ファイル共有ネットワークを介して繁殖する。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る