製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
W32/Revocer@MM
企業ユーザ:
個人ユーザ:
種別ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4241
対応定義ファイル
(現在必要とされるバージョン)
4241 (現在7593)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/01/07
発見日(米国日付)03/01/03
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/19Generic Back...
10/19DNSChanger.b...
10/19RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Revocer@MMが実行されると、以下のように自身のコピーを作成します。

%Windir%フォルダに作成されるコピー
●Autotest.com
●Compile32.pif
●Jdbgmgr.exe
●Security.pif
●Startwin.com
●TaskBoot.com
●Uninstall32.pif
●Winboot32.com
●Windows Startup.pif

%Windir%\%System%フォルダに作成されるコピー
●Autoexec32.bat
●Killvir.com
●Msdos32.pif
●Jdbgmgr.exe

●%Windir%\Start Menu\Programs\StartUp\SysTray.pif(このエントリは、マシンが再起動するたびにウイルスを再度読み込むように作成されたものである)

●%Windir%\COMMAND\EBD\Winexec.bat

●%Windir%\TEMP\Jdbgmgr.exe

注:%Windir%は、Windows 98/ME/XPシステム上ではC:\Windows、Windows NT/2000システム上ではC:\Winntです。また%System%は、Windows 98/ME/XPシステム上ではC:\Windows\System、Windows NT/2000システム上ではC:\Winnt\System32です。

・%Windir%\%System%フォルダのJdbgmgr.exeファイルは正規のWindowsファイルですが、ウイルスはファイル名を変えずに上書きします。オリジナルのファイルは削除されます。

・以下のフォルダが存在する場合は、これらのフォルダにさまざまなファイル名で自身のコピーを作成します。

●C:\Kazaa\My Shared Folder
●C:\My Downloads
●C:\Program Files\Kazaa\My Shared Folder
●C:\Programme\Kazaa\My Shared Folder
●C:\Programmi\Kazaa\My Shared Folder
●C:\Program Files\Kazaa Lite\My Shared Folder
●C:\Programme\Kazaa Lite\My Shared Folder
●C:\Programmi\Kazaa Lite\My Shared Folder
●C:\Program Files\Bearshare\Shared
●C:\Programme\Bearshare\Shared
●C:\Programmi\Bearshare\Shared
●C:\Program Files\Edonkey2000
●C:\Programme\Edonkey2000
●C:\Programmi\Edonkey2000
●C:\Program Files\Morpheus\My Shared Folder
●C:\Programme\Morpheus\My Shared Folder
●C:\Programmi\Morpheus\My Shared Folder
●C:\Program Files\Grokster\My Grokster
●C:\Programme\Grokster\My Grokster
●C:\Programmi\Grokster\My Grokster
●C:\Program Files\ICQ\Shared Files
●C:\Programme\ICQ\Shared Files
●C:\Programmi\ICQ\Shared Files

使用されるファイル名
●Computer Virus Generator.pif
●Dancing Girls ScreenSaver.scr
●Erotic Poetry.pif
●FixTool.exe
●How to hack websites.pif
●How to hack www.google.com
●How to make a virus.pif
●KaZaA Bug Fix.exe
●KaZaA Download Booster.exe
●Lord Of The Rings 2 Fast Downloader.pif
●Microsoft Product Serial List.pif
●Nature ScreenSaver.scr
●NFS Car Builder.pif
●Norton AntiVirus Quick Downloader - www.symantec.com
●Readme.pif
●Red Alert 2 Money Cheat.pif
●The Sims patch.pif
●Type-and-talk.pif
●User Information.pif
●Virtual Sex ScreenSaver.scr
●WarCraft 2 - Advanced Level Builder.com
●Windows Logon Password Cracker.pif

・次のレジストリキーを作成します。

●HKEY_CURRENT_USER\Software\Zed/[rRlf]\Recovery\1.0(レジストリ値: W32/Recovery family worm by Zed/[rRlf] )

・次のようにレジストリキーを改変し、Windowsが再起動するたびにウイルスを実行するようにします。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runから
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Msdos32"
(レジストリ値:C:\WINDOWS\SYSTEM\Msdos32.pif)

大量メール送信ルーチン

・Microsoft Outlookのアドレス帳にあるすべてのアドレスに自身を送信します。次のような電子メールメッセージで届く可能性があります。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルとフォルダが存在する。

・上記のレジストリキーが存在する。

感染方法TOPへ戻る
・ Microsoft Outlookを使用して、自身のコピーを添付した電子メールを送信する。