ウイルス情報

ウイルス名

W32/Vote.b@MM

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4164
対応定義ファイル
(現在必要とされるバージョン)
4164 (現在7634)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Vote.B@mm (NAV)
情報掲載日 01/10/04
発見日(米国日付) 01/09/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


  • AVERTは、この脅威のサンプルを実際の現場で確認しました。

  • この亜種は、W32/Vote.a@MMとは若干異なり、配信される電子メール メッセージおよび添付ファイルが異なるほか、ファイル検出ルーチンは呼び出されず、アンチウイルス ソフトウェア ファイルも削除されません。

  • このメール大量送信型ウイルスは、DAT4100以降を使用したヒューリスティック方式では、New Backdoorとして検出されます。

  • W32/Vote.b@MMは、次のような電子メールで配信されます。

    件名Fwd:This War Must Be Done !
    本文Hi
    We Must Fight , We Must ReMemBer Our Victims!
    No Peace Before KiLLing TeRRoRists !
    添付ファイルAnti_TeRRoRisM.exe

  • この添付ファイルを実行すると、Webブラウザの画面が2つ表示されます。一方の画面には、アメリカに対する軽蔑的なコメントが表示されます。

                     AmeRiCa ...

  • もう1つの画面では、YAHOOユーザ サイトからトロイの木馬がダウンロードされます。DAT4088以降を使用したヒューリスティック方式では、このトロイの木馬は、PWS-CTとして検出されます。

  • 3つのVBScriptファイル(MixDaLaL.vbs、WaiL.vbs、DaLaL.vbs)が作成されます。これらのファイルの属性は、隠しファイルに改変されます。

  • MixDaLaL.vbsは、WINDOWSディレクトリに保存されると、ただちに実行されます。すべての固定ドライブとネットワーク ドライブにある.HTMおよび.HTMLファイルはすべて、次のテキストで上書きされます。

    AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You .

  • WaiL.vbsとDaLaL.vbsは、WINDOWS SYSTEMディレクトリに作成され、システム起動時にDaLaL.vbsが実行されるように、次のレジストリ キーが作成されます。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run\ZaCker=C:\WINDOWS\SYSTEM\DaLaL.vbs

  • DaLaL.vbsには、FORMAT C:コマンドをAUTOEXEC.BATファイルに追加して(ただし、この操作は失敗します)、"I promiss We WiLL Rule The World Again...By The Way,You Are Captured By ZaCker !!!"というメッセージ ボックスを表示し、Windowsを終了する(この操作も失敗します)命令が含まれます。

  • Microsoft Internet Explorerのスタート ページは、I SwEar , We WiLL Rule This World SooN !!!というテキストが表示されるように改変されます。

  • WaiL.vbsには、WINDOWSディレクトリ内にあるすべてのファイルを削除する命令が含まれますが、この命令がウイルスによって呼び出されることはありません。

    駆除方法
    こちらを参照して下さい。