ウイルス情報

ウイルス名

W95/Toal@MM

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4167
対応定義ファイル
(現在必要とされるバージョン)
4167 (現在7659)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Toal.A@mm (NAV), Win32.Toal worm (CA), Win32.Toal.A@mm (AVX)
情報掲載日 01/10/26
発見日(米国日付) 01/10/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

このウイルスは、本文の内容により注目を浴びていますが、2001年10月26日現在では、極東で少数のケースが発見されているのみとなっています。このウイルスはWin9x/MEシステムにのみ感染し、WinNT/2000では実行されません。

このウイルスは多様な本文(その多くがオサマ・ビンラディン氏と関係のあるものです)のEメールの添付ファイルとして届けられます。添付ファイルの名前は「BINLADEN_BRASIL.EXE」で、バイト数は多様です。

このウイルスは、添付ファイルを実行するために、一般的な不適切なMIME ヘッダーを使用します。(これに関する詳細は不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)をご覧ください)
添付ファイルが実行された場合、Cドライブのルート・フォルダに、ランダムな3文字の名称の.EXEファイルを落とし込みます。このファイルは実行可能なメイン・ウイルスです。

また、このウイルスはまたWindowsシステム・ディレクトリに.DLLファイルを落とし込みます。この.DLLファイルは「INVICTUS.DLL」と呼ばれ、一般的なウイルス作成キットで作成された様々なウイルスによるものです。このファイルは「W32/Invictus.dll」として検知されます。このファイルは、ウイルスにより使用される多様なウイルス性機能を含んでいます。ウイルスはこの.DLLファイルがなければ機能しません。

「INVICTUS.DLL」のウイルス性ルーチンを使用して、このウイルスはWindowsフォルダの「HH.EXE」、「EXPLORER.EXE」ファイルに感染します。その後、スタートアップ時にウイルスが起動するよう「SYSTEM.INI」ファイルを改変します。(下記参照:)

[boot]
shell=Explorer.exe [3 random characters].EXE

このウイルスはICQホワイト・ページからEメールアドレスを収集し、「BINLADEN_BRASIL.EXE」という名称で添付される、感染HH.EXEファイルとウイルス自身を送り付けます。
またこのウイルスは「BinLaden」と呼ばれるオープン共有を作成します。この共有はCドライブにフル・アクセス権を与えます。

ウイルスが実行されてからある一定の時間が経つと、米国とオサマ・ビン・ラディン氏に関係する様々なメッセージがポップ・アップ・ウィンドウで表示されます。

駆除方法
指定のウイルス定義ファイル、エンジンをご使用ください。
ウイルスにより作成されたオープン共有を閉じるには

  • デスクトップからマイ・コンピューターをダブルクリック
  • Cドライブを右クリックし、「共有」を選択
  • 「共有しない」ボタンをクリック(または希望の設定を入力)
  • 「OK」ボタンをクリック