製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sponge@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4231
対応定義ファイル
(現在必要とされるバージョン)
4231 (現在7508)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名W32/Sponge.html
情報掲載日02/10/29
発見日(米国日付)02/10/26
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/22RDN/Generic....
07/22RDN/Generic....
07/22Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7508
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
  • これまでに AVERT では、まだこのウイルスのサンプルを一般から受け取っていません。
  • W32/Sponge@MM は、大量メール送信型ウイルスで、 .HTM ファイルの追加、.PIF 及び .SCR ファイルの上書き、Microsoft Word の Normal.dot テンプレートファイルの改変を行います。このウイルスは Visual Basic で作成され、UPX で圧縮されています。以下の形式のメールで送付されることがあります。
    件名SpongeBob WallPaper
    本文Send this to your friends and make them laugh...
    添付ファイル Spongy.exe
  • このウイルスが実行されると、
    1. Microsoft Outlook を使用して、Outlook アドレス帳に登録されている宛先に自身を送信しようとします。
    2. 以下の場所に自身をコピーします。
      • c:\Explore\Help.exe
      • c:\Jokes.pif
      • c:\porno.scr
      • c:\SpongeBob.com
      • c:\SpongeBob.eml
      • c:\SpongeBob.scr
      • c:\SpongeBob_Game.exe
      • c:\WINDOWS\kn0x\ace1.com
      • c:\WINDOWS\TEMP\Jokes.pif
      • c:\WINDOWS\TEMP\SpongeBob.com
      • c:\WINDOWS\TEMP\SpongeBob.scr
      • c:\WINDOWS\TEMP\SpongeBob_Game.exe

      (注:c:\SpongeBob.eml は、MIME 電子メールフォーマットで作成されたコピーです)

    3. システム起動時にウイルスを実行するように、レジストリ実行キーが作成されます。
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices "*WlNRUN" = c:\WINDOWS\kn0x\ace1.com
    4. 自身を実行させるよう HTM ファイルにコードを追加します。ただし、挿入されたコードがウイルスの間違ったパスを参照するというウイルス内のバグのため、ウイルスは HTM ファイルからは実行されません。上記の定義ファイルが追加されるまでは、HTM ファイルの大部分は Exploit-CodeBase の亜種の疑いがあると検出されました。
    5. NORMAL.DOT にマクロを追加し、保管一時ファイルとして c:\readme.txt を使用します。このマクロは、自身を 複製するのではなく、c:\porno.scr 内のウイルスのコピーを実行するコードを、その他のドキュメントへ追加することを目的としています。c:\xploit.mmm 名の一時ファイルを使用して、コードをドキュメントにコピーし、Word のマクロセキュリティ機能を無効にします。NORMAL.DOT 内のマクロは、W97M/Generic として検出されるよう対応済みです。また、c:\readme.txt 内のコードも VBA/Generic.src として検出されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルやメッセージが存在する。
  • マクロセキュリティ機能が無効になっている。
  • HTML 文書が改変されている。
  • 次のメッセージボックスが表示される。

感染方法TOPへ戻る
  • ファイルの実行により、感染、繁殖する。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足