製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Shoho@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4178
対応定義ファイル
(現在必要とされるバージョン)
4178 (現在7544)
対応エンジン4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Welyah (KAV), W32.Shoho@MM (NAV), W32/Welyah.A@mm (F-Secure)
情報掲載日01/12/26
発見日(米国日付)01/12/20
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

  • W32/Shoho@MMは2001年12月20日に発見されました。
    このウイルスは大量メール送信型ウイルスで、不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)を利用し、Eメールを開く、またはプレビューするだけで添付ファイルを実行する可能性があります。

  • この添付ファイル名は、「README.TXT________.pif」です。良く見ずに閉じると、ファイル名を「readme.txt」と混同する場合がありますが、実際の拡張子は.pifです。

  • この.pifファイルは32ビットのPEファイル(ポータブル実行型ファイル)形式で、ウイルスはVisual Basic 6 で書かれています。ファイルサイズは110.592バイト、ファイル圧縮ソフトでのバイナリは含まれていません。

  • 上記の.pifファイルを実行すると、このファイルの複製がwindowsフォルダ、\systemフォルダに「WINL0G0N.EXE」(※”0”は数字のゼロ)というファイル名でコピーされます。このファイル名は、通常のプロセスでも正規で使われるファイル名と混同させるためのものです。

  • このウイルスは、ローカルシステム上でファイルを追加・削除する場合があります。

    ■ テスト・システム(win9x)で追加されたファイルは以下のとおりです。

    • email.txt
    • emailinfo.txt
    • c:\WINDOWS\DRWATSON
    • c:\WINDOWS\DRWATSON\FRAME.HTM
    • c:\WINDOWS\email.txt
    • c:\WINDOWS\SYSTEM\WINL0G0N.EXE
    • c:\WINDOWS\WINL0G0N.EXE

    ■ テスト・システム(win9x)で削除されたファイルは以下のとおりです。

    • c:\WINDOWS\1STBOOT.BMP
    • c:\WINDOWS\ASD.EXE
    • c:\WINDOWS\CLEANMGR.EXE
    • c:\WINDOWS\CLSPACK.EXE
    • c:\WINDOWS\CONTROL.EXE
    • c:\WINDOWS\CVTAPLOG.EXE
    • c:\WINDOWS\DEFRAG.EXE
    • c:\WINDOWS\DOSREP.EXE
    • c:\WINDOWS\DRWATSON.EXE
    • c:\WINDOWS\DRWATSON
    • c:\WINDOWS\DRWATSON\FRAME.HTM
    • c:\WINDOWS\EMM386.EXE
    • c:\WINDOWS\HIMEM.SYS
    • c:\WINDOWS\HWINFO.EXE
    • c:\WINDOWS\JAUTOEXP.DAT
    • c:\WINDOWS\Kacheln.bmp
    • c:\WINDOWS\Kreise.bmp
    • c:\WINDOWS\LICENSE.TXT
    • c:\WINDOWS\LOGOS.SYS
    • c:\WINDOWS\LOGOW.SYS
    • c:\WINDOWS\MORICONS.DLL
    • c:\WINDOWS\NDDEAPI.DLL
    • c:\WINDOWS\NDDENB.DLL
    • c:\WINDOWS\NETDET.INI
    • c:\WINDOWS\RAMDRIVE.SYS
    • c:\WINDOWS\RUNHELP.CAB
    • c:\WINDOWS\SCRIPT.DOC
    • c:\WINDOWS\Setup.bmp
    • c:\WINDOWS\SMARTDRV.EXE
    • c:\WINDOWS\Streifen.bmp
    • c:\WINDOWS\SUBACK.BIN
    • c:\WINDOWS\SUPPORT.TXT
    • c:\WINDOWS\TELEPHON.INI
    • c:\WINDOWS\W98SETUP.BIN
    • c:\WINDOWS\Wellen.bmp
    • c:\WINDOWS\WIN.COM
    • c:\WINDOWS\WIN.INI
    • c:\WINDOWS\WINSOCK.DLL

  • このウイルスは、「-email.txt」「-emailinfo.txt」というファイルを落とし込み、または追加します。「EMAIL.TXT」は、SMTPサーバに送信可能なEメールを含んでいます。この「EMAIL.TXT」は、Base64で暗号化された「WINL0G0N.EXE」と、不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)を含んだMIMEファイルです。ウイルスは、SMTP接続で設置した、ウイルス自身のSMTPエンジンを持っていおり、中継のためにオープンされたSMTPサーバを使用します。

  • ウイルスは、Eメールアドレスを含んだファイルを探してハードディスク上の*.eml,*.wab.といったファイル名のものをスキャンします。見つかったファイルは「EMAILINFO.TXT」というファイルに保存されます。

  • このウイルスは、「EMAILINFO.TXT」に保存された全てのEメールアドレスに「Welcome to Yahoo! Mail」という件名でウイルス自身を送り付けます。

  • また、このウイルスは下記のレジストリ・キーの追加を行います。
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
    \CurrentVersion\Run\WINL0G0N.EXE="c:\windows\WINL0G0N.EXE"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
    \CurrentVersion\Run\WINL0G0N.EXE="c:\windows\WINL0G0N.EXE"

  • システムを再起動後、「WINL0G0N.EXE」が実行され、GPF(一般保護エラー)を引き起こす可能性があります。削除されたファイルのため、システムは通常どおりWindowsを起動する事が不可能になる場合もあります。この現象は、win9xのテストシステムでは起こりましたが、NT4.0のテストシステムには見られませんでした。

  • このEメール・ルーチンは全てのシステム上で必ず動くものではありません。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

  • Windows ディレクトリと System ディレクトリのいずれかまたは両方に WINL0G0N.EXE (注:0はゼロ)110592バイトが存在する。
  • email.txt が存在する。
  • emailinfo.txt が存在する。
  • frame.htm が存在する。

感染方法TOPへ戻る

駆除方法TOPへ戻る