ウイルス情報

ウイルス名

W32/SoftSix.worm

危険度
対応定義ファイル 4057 (現在7633)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.HLLP.Soft6, W32/Soft6
発見日(米国日付) 99/12/08


新種ウイルスW32/SoftSix.wormへの対応のお知らせ(99/12/15)

新種ウイルスW32/SoftSix.worm(別名:W32.HLLP.Soft6)につき、対応をお知らせします。このウイルスはWindows NTでのみ発動し、"Hi 2000"というメッセージをスクリーン上に表示します。なおこのウイルスの日本での被害報告は現時点ではありません(弊社調べ)


ウイルス情報

W32/SoftSix.worm はWindows NT用に書かれた32ビットのウイルスです。2つの.exe ファイルから構成されており、これらのファイルは SYSTEM32 フォルダに常在することになります。まず最初のファイル(ファイル名は、INSTALS.EXE あるいはIACCEPT.EXE。サイズ:306,688 バイト)が実行されます。次にこのファイルが2番目のファイル(ファイル名:SERVICESS.EXE あるいは IACCEPTS.EXE。サイズ:329,728 バイト)をインストールします。インストールされたファイルは、次回システム起動時にService" という名前のサービスとしてアクティブになります。また最初のファイルの方も、システムの起動時に自動的に起動するよう、レジストリに自らをインストールします。

このサービスがアクティブである場合、午前9時から正午の間、"Hi 2000"というテキスト文字が、ランダムな場所にランダムな色で表示されます。

このサービスのプロセスを終了させようとしてタスクマネージャをオープンしても、ウイルスは自らを保護するためにそのウインドウを自動的に閉じてしまいます。

またこのウイルスには、ネットワークを介して他のNTシステムへの感染を試みるコードが含まれているようだが、AVERT内部でのテストでは現象は発現しなかった。 また、5 〜 12月の間の毎月14日には、ユーザーを揶揄するようなメッセージボックスが表示される。


対処方法

エンジンバージョン4以上の場合
v.4.0.35以降のエンジンに、最新のDATファイルとExtra.DATを組み合わせれば検出と駆除が可能です。正式DATでは4057から対応します。

注:

エンジンバージョンv.4.0.35:

  • VirusScan 3x 4.0.2c
  • VirusScan 9x 4.0.3a
  • VirusScan NT 4.0.3c
  • Netshield NT 4.0.3c
  • NetShield for NetWare 4.1.0
  • Groupshield Exchange 4.0.4
  • WebShield SMTP 4.0.3.1(エンジン4035版)
  • 検出と駆除が可能

    エンジンバージョンの見分け方

    Extra.DATのダウンロード
    DATファイルのダウンロード

    * Ver3 DATでは対応していません。