ウイルス情報

ウイルス名 危険度

W32/Snapper@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4342
対応定義ファイル
(現在必要とされるバージョン)
4342 (現在7656)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/03/26
発見日(米国日付) 04/03/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

- 2004年3月25日 太平洋標準時間 15:16 更新情報 -

・W32/Snapper@MMは以下のメディアの注目を集めたので、危険度を“低〔要注意〕”にしました。 http://www.eweek.com/article2/0,1759,1554603,00.asp


・W32/Snapper@MMはターゲットマシンのWindows アドレス帳から抽出された電子メールアドレスに繁殖するように作成されたワームです。

  • W32/Snapper@MMはW32/Bagle.q@MMの繁殖メカニズムに類似しており、電子メールの添付ファイルでは繁殖しません。その代わり、見かけが空白の電子メールメッセージが送信されます。HTML形式のメッセージには、Microsoft Security Bulletin MS03-032(オブジェクトタグの脆弱性)を利用するコードが含まれています。接続に成功すると、リモートファイルであるBANNER.HTMがダウンロードされます。
  • BANNER.HTMには、別のリモートファイル(HTMLHELP.CGI)をターゲットマシンにダウンロードするスクリプトが含まれています。
  • 実際に、HTMLHELP.CGIはHTMLアプリケーションであり、ターゲットマシン上にWin32 DLL (IELOAD.DLL)をドロップ(作成)して読み込むスクリプトが含まれます。このスクリプトはIELOAD.DLLを %WinDir%にドロップ(作成)します。

・注:この情報掲載時点では、HTMLHELP.CGIファイルはリモートサーバで動作しませんでした。このため、W32/Snapper@MMは繁殖できません。

・IELOAD.DLLがターゲットマシンに読み込まれると、Browser Helper Object (BHO)がランダムなCLSID番号を使用してインストールされます。以下のプロセスが実行中の場合、強制終了します。

  • NAVAPW32.EXE
  • CCAPP.EXE
  • OUTPOST.EXE
  • SPIDERML.EXE

・IELOAD.DLLは、送信メッセージを作成するために自身のSMTPエンジンを内蔵しています。これらのメッセージはターゲットマシンのWindowsアドレス帳から抽出された宛先に送信されます。この電子メールのメッセージには、上記のBANNER.HTMファイルを読み込むHTMLが含まれています。電子メールは以下のように作成されます。

送信者:(偽造されています)
件名: Re:
メッセージ本文:(見かけが空白です)

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・電子メールのメッセージを閲覧する、以下のリモートサーバへのトラフィックが発生します。
  • 198.170.245.129

・予期せず、BHOがインストールされたことを示すレジストリキーが存在します。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Explorer\Browser Helper Objects (ランダムな CLSID 番号)
  • HKEY_CLASSES_ROOT\CLSID\(ランダムなCLSID 番号)\ InProcServer32 (デフォルト) = IELOAD.DLL

・予期せず、以下のリモートサーバへのHTTPトラフィックが発生します。

  • 66.55.140.121

TOPへ戻る

感染方法

・W32/Snapper@MMは、Microsoftの脆弱性を悪用する電子メールのメッセージによって繁殖します。このメッセージはターゲットマシンにW32/Snapper@MMをドロップ(作成)して実行する、別のリモートスクリプトをダウンロードする目的があります。電子メールの添付ファイルを介して繁殖しません。

・注:この情報掲載時点では、HTMLHELP.CGIファイルはリモートサーバで動作しませんでした。このため、W32/Snapper@MMは繁殖できません。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る