ウイルス情報

ウイルス名 危険度

W32/Sysnom@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4181
対応定義ファイル
(現在必要とされるバージョン)
4181 (現在7656)
対応エンジン 4.1.50以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 02/01/24
発見日(米国日付) 01/12/11
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このコメントを書いている時点では、実地から入手したW32/Sysnom@MMのサンプルは確認していません。確認済みのサンプルは、ウイルス作者から入手した新しいサンプル(亜種D)だけです。

  • この脅威は、ヒューリスティック方式でDAT4168以降を使用すると、New Wormとして検出されます。

  • このメール大量送信型ウイルスは、1つの実行ファイルが添付された電子メールで配信されます。この添付ファイルを実行すると、ホスト システムに感染します。

  • 亜種Dが配信される電子メールは、次のようになっています。

    件名: Good News
    本文: This is a passport to your success...
    添付ファイル: FreeTrip.com

  • 添付ファイルを実行すると、次の小さなメッセージ ボックスが表示されます。

  • 'OK'ボタンをクリックすると、Internet Explorerが起動して、www.hotmail.comにアクセスしようとします。'OK'ボタンを押さなくても、このウイルスはコンピュータから大量のメールを送信します。

  • このウイルスは、システムの起動時に自身のプログラムが実行されるように、次のレジストリ キーをフックします。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "*FreetripII"

  • このレジストリ キーは、c:\windows\sysmon.com(ウイルスのコピー)が実行されるように設定されます。

  • %windir%\scanregw.exeがウイルスのコピーで上書きされ、システム起動時にウイルスのプログラムが実行されるようになります。

  • C:\AUTOEXEC.BATは上書きされ、次のファイルが作成されます。

    c:\recycled\boot16.com

  • このファイルは、ウイルスによって作成されるものではありませんが、ファイルを作成するためのデバッグ スクリプトvb6.dll(コンパイルされていません)がc:\windowsディレクトリに落とし込まれます。

  • boot16.com(44バイト)が作成されると、破損力があるため、全ディスクの先頭にあるデータを上書きします。ただし、DAT4148以降を使用すると、この破壊力のあるトロイの木馬は'QZap65'として検出されます。DAT4181を使用すると、デバッグ スクリプト(W32/Sysnom.dbg)を検出して消去できます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

TOPへ戻る