ウイルス情報

ウイルス名 危険度

W32/Sahay.worm

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4243
対応定義ファイル
(現在必要とされるバージョン)
4243 (現在7652)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Sahay (AVP):PE_SAHAY.A (Trend):W32.Sahay.A@mm (Symantec):Win32.HLLP.Yahasux
情報掲載日 03/01/16
発見日(米国日付) 03/01/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2003年1月15日更新情報

・W32/Sahay.wormは、以下のメディアの注目を集めたため、危険度を“低〔要注意〕”としました。

http://www.theage.com.au/articles/2003/01/14/1041990271338.html

・W32/Sahay.wormは、EXEファイル名のに自身を追加したり、Outlookのアドレス帳にある宛先に自身を送信して繁殖します。AVERTのテストでは、ウイルス内のバグのためにシステムハングが頻繁に起こりました。

・定義ファイル4081以降を使用すると、自身を送信するためにウイルスがドロップ(作成)するVBSスクリプトはVBS/Scramblerとして検出されます(テストでは、このVBSスクリプトは落とし込まれませんでした)。

送信する電子メールメッセージ

・W32/Sahay.wormは、以下のような電子メールメッセージで届くことがあります。

件名: Fw: Sit back and be surprised..
添付ファイル: MathMagic.Scr (32,768 bytes)
本文:

Think of a number between 1 and 52.

Say it out loud, and keep repeating while you read on.

Think of the name of someone you know (of the opposite sex).

Now count which place in the alphabet, the second letter of that name has.

Add that number to the number you were thinking of.

Say the number out loud 3 times.

Now count which place in the alphabet the first letter of your first name has, and substract that number from the one you just had.

Say it out loud 3 times.

Now sit back, watch the attached slide show and be surprised..

送信する電子メールメッセージの例

前方追加型のファイル感染

・W32/Sahay.wormは自身を電子メールで送信するばかりだけでなく、ターゲットマシンの.EXEファイル名の前に自身を追加して繁殖します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のような電子メールメッセージを送信します。
  • C:\MathMagic.Scrファイルが存在します。
  • C:\WINDOWS\SYSTEM\YAHASUX.EXEファイルが存在します。
  • ウイルスが前方に追加された.EXEファイルのサイズが、32,768バイト増加します。

TOPへ戻る

感染方法

・W32/Sahay.wormは、Outlookのアドレス帳にある宛先に自身を送信したり、ターゲットマシン上の.EXEファイル名の前に自身を追加することで繁殖します。また、自身をC:\MATHMAGIC.SCRにコピーします。

・W32/Sahay.wormは、ターゲットマシン上の.EXEファイル(テストでは%WinDir%\Systemディレクトリの.EXEファイル)名の前に自身を追加します。感染したファイルのサイズはウイルス分(32,768バイト)だけ増加します。感染ファイルは、上記の定義ファイルで検出・修復されます。

・W32/Sahay.wormはターゲットマシン上でW32/Yahaファミリーの亜種に感染したかどうか検索します。感染の兆候を見つけると取り除いて次のメッセージを表示します。

Hi there.. it seems you were infected with Yaha.k. That worm however, written by an idiot who sPeLlS lIkE tHiS, abused my website and got me to receive the complaints. Therefore, I have just disinfected you. Don't worry tho.. as I didn't wanna steal from you, I gave you this virus (Win32.HLLP.YahaSux) in return :)

Greetz,

Gigabyte [Metaphase VX Team]

・また、システムファイルMPREXE.EXEのコピーを以下に作成します。

  • C:\PROGRA~1\MIRC\DOWNLOAD\YAHASUX.EXE
  • C:\WINDOWS\SYSTEM\YAHASUX.EXE

・AVERTのテストでは、ハードディスクの空き容量がなくなるまでMPREXE.EXEをC:\PROGRA~1\MIRC\DOWNLOAD\YAHASUX.EXEファイルの後に追加し続けました。
・YAHASUX.EXEファイルは手動で削除する必要があります。

・最後に、ターゲットマシンを再起動します。

TOPへ戻る