ウイルス情報

ウイルス名 危険度

W32/Sponge@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4231
対応定義ファイル
(現在必要とされるバージョン)
4231 (現在7659)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32/Sponge.html
情報掲載日 02/10/29
発見日(米国日付) 02/10/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法
このウイルスには、4231定義ファイルで対応いたします。4231定義ファイルは02/10/31に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

概要

TOPへ戻る

ウイルスの特徴

  • これまでに AVERT では、まだこのウイルスのサンプルを一般から受け取っていません。
  • W32/Sponge@MM は、大量メール送信型ウイルスで、 .HTM ファイルの追加、.PIF 及び .SCR ファイルの上書き、Microsoft Word の Normal.dot テンプレートファイルの改変を行います。このウイルスは Visual Basic で作成され、UPX で圧縮されています。以下の形式のメールで送付されることがあります。
    件名SpongeBob WallPaper
    本文Send this to your friends and make them laugh...
    添付ファイル Spongy.exe
  • このウイルスが実行されると、
    1. Microsoft Outlook を使用して、Outlook アドレス帳に登録されている宛先に自身を送信しようとします。
    2. 以下の場所に自身をコピーします。
      • c:\Explore\Help.exe
      • c:\Jokes.pif
      • c:\porno.scr
      • c:\SpongeBob.com
      • c:\SpongeBob.eml
      • c:\SpongeBob.scr
      • c:\SpongeBob_Game.exe
      • c:\WINDOWS\kn0x\ace1.com
      • c:\WINDOWS\TEMP\Jokes.pif
      • c:\WINDOWS\TEMP\SpongeBob.com
      • c:\WINDOWS\TEMP\SpongeBob.scr
      • c:\WINDOWS\TEMP\SpongeBob_Game.exe

      (注:c:\SpongeBob.eml は、MIME 電子メールフォーマットで作成されたコピーです)

    3. システム起動時にウイルスを実行するように、レジストリ実行キーが作成されます。
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices "*WlNRUN" = c:\WINDOWS\kn0x\ace1.com
    4. 自身を実行させるよう HTM ファイルにコードを追加します。ただし、挿入されたコードがウイルスの間違ったパスを参照するというウイルス内のバグのため、ウイルスは HTM ファイルからは実行されません。上記の定義ファイルが追加されるまでは、HTM ファイルの大部分は Exploit-CodeBase の亜種の疑いがあると検出されました。
    5. NORMAL.DOT にマクロを追加し、保管一時ファイルとして c:\readme.txt を使用します。このマクロは、自身を 複製するのではなく、c:\porno.scr 内のウイルスのコピーを実行するコードを、その他のドキュメントへ追加することを目的としています。c:\xploit.mmm 名の一時ファイルを使用して、コードをドキュメントにコピーし、Word のマクロセキュリティ機能を無効にします。NORMAL.DOT 内のマクロは、W97M/Generic として検出されるよう対応済みです。また、c:\readme.txt 内のコードも VBA/Generic.src として検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルやメッセージが存在する。
  • マクロセキュリティ機能が無効になっている。
  • HTML 文書が改変されている。
  • 次のメッセージボックスが表示される。

TOPへ戻る

感染方法

  • ファイルの実行により、感染、繁殖する。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る