ウイルス情報

ウイルス名 危険度

W32/Revocer@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4241
対応定義ファイル
(現在必要とされるバージョン)
4241 (現在7628)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/01/07
発見日(米国日付) 03/01/03
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Revocer@MMが実行されると、以下のように自身のコピーを作成します。

%Windir%フォルダに作成されるコピー
●Autotest.com
●Compile32.pif
●Jdbgmgr.exe
●Security.pif
●Startwin.com
●TaskBoot.com
●Uninstall32.pif
●Winboot32.com
●Windows Startup.pif

%Windir%\%System%フォルダに作成されるコピー
●Autoexec32.bat
●Killvir.com
●Msdos32.pif
●Jdbgmgr.exe

●%Windir%\Start Menu\Programs\StartUp\SysTray.pif(このエントリは、マシンが再起動するたびにウイルスを再度読み込むように作成されたものである)

●%Windir%\COMMAND\EBD\Winexec.bat

●%Windir%\TEMP\Jdbgmgr.exe

注:%Windir%は、Windows 98/ME/XPシステム上ではC:\Windows、Windows NT/2000システム上ではC:\Winntです。また%System%は、Windows 98/ME/XPシステム上ではC:\Windows\System、Windows NT/2000システム上ではC:\Winnt\System32です。

・%Windir%\%System%フォルダのJdbgmgr.exeファイルは正規のWindowsファイルですが、ウイルスはファイル名を変えずに上書きします。オリジナルのファイルは削除されます。

・以下のフォルダが存在する場合は、これらのフォルダにさまざまなファイル名で自身のコピーを作成します。

●C:\Kazaa\My Shared Folder
●C:\My Downloads
●C:\Program Files\Kazaa\My Shared Folder
●C:\Programme\Kazaa\My Shared Folder
●C:\Programmi\Kazaa\My Shared Folder
●C:\Program Files\Kazaa Lite\My Shared Folder
●C:\Programme\Kazaa Lite\My Shared Folder
●C:\Programmi\Kazaa Lite\My Shared Folder
●C:\Program Files\Bearshare\Shared
●C:\Programme\Bearshare\Shared
●C:\Programmi\Bearshare\Shared
●C:\Program Files\Edonkey2000
●C:\Programme\Edonkey2000
●C:\Programmi\Edonkey2000
●C:\Program Files\Morpheus\My Shared Folder
●C:\Programme\Morpheus\My Shared Folder
●C:\Programmi\Morpheus\My Shared Folder
●C:\Program Files\Grokster\My Grokster
●C:\Programme\Grokster\My Grokster
●C:\Programmi\Grokster\My Grokster
●C:\Program Files\ICQ\Shared Files
●C:\Programme\ICQ\Shared Files
●C:\Programmi\ICQ\Shared Files

使用されるファイル名
●Computer Virus Generator.pif
●Dancing Girls ScreenSaver.scr
●Erotic Poetry.pif
●FixTool.exe
●How to hack websites.pif
●How to hack www.google.com
●How to make a virus.pif
●KaZaA Bug Fix.exe
●KaZaA Download Booster.exe
●Lord Of The Rings 2 Fast Downloader.pif
●Microsoft Product Serial List.pif
●Nature ScreenSaver.scr
●NFS Car Builder.pif
●Norton AntiVirus Quick Downloader - www.symantec.com
●Readme.pif
●Red Alert 2 Money Cheat.pif
●The Sims patch.pif
●Type-and-talk.pif
●User Information.pif
●Virtual Sex ScreenSaver.scr
●WarCraft 2 - Advanced Level Builder.com
●Windows Logon Password Cracker.pif

・次のレジストリキーを作成します。

●HKEY_CURRENT_USER\Software\Zed/[rRlf]\Recovery\1.0(レジストリ値: W32/Recovery family worm by Zed/[rRlf] )

・次のようにレジストリキーを改変し、Windowsが再起動するたびにウイルスを実行するようにします。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runから
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Msdos32"
(レジストリ値:C:\WINDOWS\SYSTEM\Msdos32.pif)

大量メール送信ルーチン

・Microsoft Outlookのアドレス帳にあるすべてのアドレスに自身を送信します。次のような電子メールメッセージで届く可能性があります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとフォルダが存在する。

・上記のレジストリキーが存在する。

TOPへ戻る

感染方法

・ Microsoft Outlookを使用して、自身のコピーを添付した電子メールを送信する。

TOPへ戻る