製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
W32/Rexli@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4186
対応定義ファイル
(現在必要とされるバージョン)
4241 (現在7516)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Rexli.A@mm (NAV) W32/Rexli.vbs
情報掲載日02/02/14
発見日(米国日付)02/02/06
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/30RDN/Generic....
07/30RDN/Generic....
07/30Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7516
 エンジン:5600
 
ウイルス検索
 




概要TOPに戻る

ウイルスの特徴TOPに戻る
  • ヒューリスティック方式でDAT4140以降を使用すると、この脅威はNew BackdoorまたはNew Wormとして検出されます。
  • AVERTは、一般に流布しているこの脅威のサンプルをまだ確認していません。
  • W32/Rexli@MMは、IRCを通して繁殖するメール大量送信型ウイルスです。
  • このウイルスは、100回実行された後に、重要なシステム ファイルを削除します。
  • このウイルスは、次のような電子メールで配信されます。

    件名: Cool linki
    本文: Przesy?am ci znalezion? baz? danych linkow. Jest tam du?o stron, ktorych na pewno nie znasz :)

    添付ファイル: LINKI.EXE

  • 添付ファイルを実行すると、ローカル マシンに感染します。
  • 次のような偽のエラー メッセージが表示されます。

  • このウイルスは、初めて起動したときに、自身を追跡するためのレジストリ キーを作成します。 * HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
    Rax\General\First Start=0
  • このウイルスは、自身をREXEC.EXEとLINKI.EXEとしてWINDOWS SYSTEMディレクトリにコピーし、システムの起動時にウイルスが読み込まれるように、WIN.INIエントリを作成します。

    * load=C:\WINDOWS\SYSTEM\REXEC.EXE

  • システム上のすべてのVBScriptファイルは、ウイルスを起動するための命令で上書きされます。上書きされる前に、元のVBScriptファイルの内容は保存されません。
  • すべてのSCRIPT.INIファイルも命令で上書きされます。この命令では、mIRCクライアントから、感染ユーザが参加しているチャネルに参加しているすべてのユーザにLINKI.EXEが配信されます。
  • DAT4140以降を使用すると、これらのINIファイルはMIRC/Genericとして検出されます。
  • 次にウイルスが起動すると、MAPIメッセージングを使用して、Microsoft Outlookのアドレス帳にあるすべてのアドレスに自身を配信しようとします。
  • ウイルスの実行回数を記録するために、レジストリに実行カウント キーが作成されます。
    * HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
    Rax\General\Runs=%run count%
  • このウイルスは、2回目に実行されたときだけ自身を配信しようとします。このカウンタは、実行回数が100になるまでカウントします。実行回数が101になると、C:\rbatC.bat(ウイルスが作成したバッチ ファイル)が呼び出されるように、C:\AUTOEXEC.BATファイルが改変されます。
  • rbatC.batファイルには、実行されているWindowsのバージョンを確認するための命令と、該当のディレクトリからファイル名を改変するための命令が含まれています。改変されるファイルは、次のとおりです。

    * INTERNAT.EXEは、INTERNAT.BAKに改変される。
    * RAPP.EXE(ウイルスのコピー)は、INTERNAT.EXEに改変される。

  • このとき、次のファイルが削除されます。
    * %WinDir%\WIN.COM
    * %WinDir%\HIMEM.SYS
    * %WinDir%\COMMAND\EBD\HIMEM.SYS
    * %WinDir%\IFSHLP.SYS

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

感染方法TOPへ戻る

駆除方法TOPへ戻る

W32/Rexli@MMBeta版定義ファイルで検出され、次にリリースされるウイルス定義ファイルで正式に対応します。また、検出に要求されるウイルス定義ファイルのバージョンと、指定のバージョンかそれ以上のエンジンを合わせてご利用ください。

Windows ME/XPでの駆除についての補足