製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Snapper@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4342
対応定義ファイル
(現在必要とされるバージョン)
4342 (現在7577)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日04/03/26
発見日(米国日付)04/03/24
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/29RDN/Generic ...
09/29RDN/Generic....
09/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7577
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

- 2004年3月25日 太平洋標準時間 15:16 更新情報 -

・W32/Snapper@MMは以下のメディアの注目を集めたので、危険度を“低〔要注意〕”にしました。 http://www.eweek.com/article2/0,1759,1554603,00.asp


・W32/Snapper@MMはターゲットマシンのWindows アドレス帳から抽出された電子メールアドレスに繁殖するように作成されたワームです。

  • W32/Snapper@MMはW32/Bagle.q@MMの繁殖メカニズムに類似しており、電子メールの添付ファイルでは繁殖しません。その代わり、見かけが空白の電子メールメッセージが送信されます。HTML形式のメッセージには、Microsoft Security Bulletin MS03-032(オブジェクトタグの脆弱性)を利用するコードが含まれています。接続に成功すると、リモートファイルであるBANNER.HTMがダウンロードされます。
  • BANNER.HTMには、別のリモートファイル(HTMLHELP.CGI)をターゲットマシンにダウンロードするスクリプトが含まれています。
  • 実際に、HTMLHELP.CGIはHTMLアプリケーションであり、ターゲットマシン上にWin32 DLL (IELOAD.DLL)をドロップ(作成)して読み込むスクリプトが含まれます。このスクリプトはIELOAD.DLLを %WinDir%にドロップ(作成)します。

・注:この情報掲載時点では、HTMLHELP.CGIファイルはリモートサーバで動作しませんでした。このため、W32/Snapper@MMは繁殖できません。

・IELOAD.DLLがターゲットマシンに読み込まれると、Browser Helper Object (BHO)がランダムなCLSID番号を使用してインストールされます。以下のプロセスが実行中の場合、強制終了します。

  • NAVAPW32.EXE
  • CCAPP.EXE
  • OUTPOST.EXE
  • SPIDERML.EXE

・IELOAD.DLLは、送信メッセージを作成するために自身のSMTPエンジンを内蔵しています。これらのメッセージはターゲットマシンのWindowsアドレス帳から抽出された宛先に送信されます。この電子メールのメッセージには、上記のBANNER.HTMファイルを読み込むHTMLが含まれています。電子メールは以下のように作成されます。

送信者:(偽造されています)
件名: Re:
メッセージ本文:(見かけが空白です)

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・電子メールのメッセージを閲覧する、以下のリモートサーバへのトラフィックが発生します。
  • 198.170.245.129

・予期せず、BHOがインストールされたことを示すレジストリキーが存在します。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Explorer\Browser Helper Objects (ランダムな CLSID 番号)
  • HKEY_CLASSES_ROOT\CLSID\(ランダムなCLSID 番号)\ InProcServer32 (デフォルト) = IELOAD.DLL

・予期せず、以下のリモートサーバへのHTTPトラフィックが発生します。

  • 66.55.140.121

感染方法TOPへ戻る

・W32/Snapper@MMは、Microsoftの脆弱性を悪用する電子メールのメッセージによって繁殖します。このメッセージはターゲットマシンにW32/Snapper@MMをドロップ(作成)して実行する、別のリモートスクリプトをダウンロードする目的があります。電子メールの添付ファイルを介して繁殖しません。

・注:この情報掲載時点では、HTMLHELP.CGIファイルはリモートサーバで動作しませんでした。このため、W32/Snapper@MMは繁殖できません。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足