製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:W
ウイルス情報
ウイルス情報

ウイルス名
WinSKC
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)		4062
対応定義ファイル
(現在必要とされるバージョン)		4062 (現在7109)
対応エンジン4.0.25以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Hypermart
情報掲載日00/02/04
発見日(米国日付)00/01/06
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
06/17RDN/Sdbot.bf...
06/17VBS/LoveLett...
06/17Generic Qhos...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7109
 エンジン:5.4.00
 
ウイルス検索
 




*注意:この解説の作成時点では、AVERT(USA)に3件の被害届が出ています。*

これはトロイの木馬であり、ハッカーがダイアルアップのアカウントから、まず「スパムメール」で配布します。このファイルは"SETUP.EXE"(29,401バイト)という名前で、電子メールに添付されます。電子メールの本文自体が非常に下手な英語で書かれているため、このメッセージを読んで実際に実行する人はほとんどいません。電子メールは以下のフォーマットで書かれています。

差出人: webmaster@hypermart.net
件名: Y2K an FTP Clients Update of Hypermart Administration
In cause Y2K yours FTP clients can work incorrect with our server .In the letter we are
give you update for your system. You need to start file setup.exe,that include in the
letter.

「差出人」のアドレスは偽造されたものです。添付ファイルをマニュアルあるいは電子メールアプリケーションの設定によって実行すると、偽のエラーメッセージが表示されます。

Sorry
[x]
Please download and install new version of OLE32.dll from http://www.microsoft.com
[OK]
OKボタンをクリックすると、以下の2つのファイルがシステムに書き込まれます。
c:\WINDOWS\TEMP\Ole.exe
c:\WINDOWS\windown.exe

次回のWindows起動時に、ShellアプリケーションのExplorer.exeへのセカンダリロードファイルとしてWINDOWN.EXEファイルをロードするよう、SYSTEM.INIが改変されます。

[boot]
Explorer=Explorer C:\WINDOWS\WINDOWN.EXE

このトロイの木馬をロードするための補足的な方法として、ICQの起動時にこのファイルをロードするよう、レジストリキーが改変されます。

HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\Run\ Path="C:\WINDOWS\WINDOWN.EXE"

このレジストリキーから、このファイルはパスワードを盗むトロイの木馬、あるいはキーのログファイルであると思われます。AVERTがWindows 98システムでテストしたところ、WINDOWN.EXEファイルはMSVCRT.DLLに不正な障害を引き起こしました。同様にその他の環境でも、現在調査中です。