製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sahay.worm
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4243
対応定義ファイル
(現在必要とされるバージョン)
4243 (現在7599)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Sahay (AVP):PE_SAHAY.A (Trend):W32.Sahay.A@mm (Symantec):Win32.HLLP.Yahasux
情報掲載日03/01/16
発見日(米国日付)03/01/13
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/21W32/Akbot!35...
10/21RDN/Generic ...
10/21RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7599
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

2003年1月15日更新情報

・W32/Sahay.wormは、以下のメディアの注目を集めたため、危険度を“低〔要注意〕”としました。

http://www.theage.com.au/articles/2003/01/14/1041990271338.html

・W32/Sahay.wormは、EXEファイル名のに自身を追加したり、Outlookのアドレス帳にある宛先に自身を送信して繁殖します。AVERTのテストでは、ウイルス内のバグのためにシステムハングが頻繁に起こりました。

・定義ファイル4081以降を使用すると、自身を送信するためにウイルスがドロップ(作成)するVBSスクリプトはVBS/Scramblerとして検出されます(テストでは、このVBSスクリプトは落とし込まれませんでした)。

送信する電子メールメッセージ

・W32/Sahay.wormは、以下のような電子メールメッセージで届くことがあります。

件名: Fw: Sit back and be surprised..
添付ファイル: MathMagic.Scr (32,768 bytes)
本文:

Think of a number between 1 and 52.

Say it out loud, and keep repeating while you read on.

Think of the name of someone you know (of the opposite sex).

Now count which place in the alphabet, the second letter of that name has.

Add that number to the number you were thinking of.

Say the number out loud 3 times.

Now count which place in the alphabet the first letter of your first name has, and substract that number from the one you just had.

Say it out loud 3 times.

Now sit back, watch the attached slide show and be surprised..

送信する電子メールメッセージの例

前方追加型のファイル感染

・W32/Sahay.wormは自身を電子メールで送信するばかりだけでなく、ターゲットマシンの.EXEファイル名の前に自身を追加して繁殖します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のような電子メールメッセージを送信します。
  • C:\MathMagic.Scrファイルが存在します。
  • C:\WINDOWS\SYSTEM\YAHASUX.EXEファイルが存在します。
  • ウイルスが前方に追加された.EXEファイルのサイズが、32,768バイト増加します。

感染方法TOPへ戻る
・W32/Sahay.wormは、Outlookのアドレス帳にある宛先に自身を送信したり、ターゲットマシン上の.EXEファイル名の前に自身を追加することで繁殖します。また、自身をC:\MATHMAGIC.SCRにコピーします。

・W32/Sahay.wormは、ターゲットマシン上の.EXEファイル(テストでは%WinDir%\Systemディレクトリの.EXEファイル)名の前に自身を追加します。感染したファイルのサイズはウイルス分(32,768バイト)だけ増加します。感染ファイルは、上記の定義ファイルで検出・修復されます。

・W32/Sahay.wormはターゲットマシン上でW32/Yahaファミリーの亜種に感染したかどうか検索します。感染の兆候を見つけると取り除いて次のメッセージを表示します。

Hi there.. it seems you were infected with Yaha.k. That worm however, written by an idiot who sPeLlS lIkE tHiS, abused my website and got me to receive the complaints. Therefore, I have just disinfected you. Don't worry tho.. as I didn't wanna steal from you, I gave you this virus (Win32.HLLP.YahaSux) in return :)

Greetz,

Gigabyte [Metaphase VX Team]

・また、システムファイルMPREXE.EXEのコピーを以下に作成します。

  • C:\PROGRA~1\MIRC\DOWNLOAD\YAHASUX.EXE
  • C:\WINDOWS\SYSTEM\YAHASUX.EXE

・AVERTのテストでは、ハードディスクの空き容量がなくなるまでMPREXE.EXEをC:\PROGRA~1\MIRC\DOWNLOAD\YAHASUX.EXEファイルの後に追加し続けました。
・YAHASUX.EXEファイルは手動で削除する必要があります。

・最後に、ターゲットマシンを再起動します。