ウイルス情報

ウイルス名

WinSKC

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4062
対応定義ファイル
(現在必要とされるバージョン)
4062 (現在7656)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Hypermart
情報掲載日 00/02/04
発見日(米国日付) 00/01/06
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


*注意:この解説の作成時点では、AVERT(USA)に3件の被害届が出ています。*

これはトロイの木馬であり、ハッカーがダイアルアップのアカウントから、まず「スパムメール」で配布します。このファイルは"SETUP.EXE"(29,401バイト)という名前で、電子メールに添付されます。電子メールの本文自体が非常に下手な英語で書かれているため、このメッセージを読んで実際に実行する人はほとんどいません。電子メールは以下のフォーマットで書かれています。

差出人: webmaster@hypermart.net
件名: Y2K an FTP Clients Update of Hypermart Administration
In cause Y2K yours FTP clients can work incorrect with our server .In the letter we are
give you update for your system. You need to start file setup.exe,that include in the
letter.

「差出人」のアドレスは偽造されたものです。添付ファイルをマニュアルあるいは電子メールアプリケーションの設定によって実行すると、偽のエラーメッセージが表示されます。


Sorry
[x]
Please download and install new version of OLE32.dll from http://www.microsoft.com
[OK]
OKボタンをクリックすると、以下の2つのファイルがシステムに書き込まれます。
c:\WINDOWS\TEMP\Ole.exe
c:\WINDOWS\windown.exe

次回のWindows起動時に、ShellアプリケーションのExplorer.exeへのセカンダリロードファイルとしてWINDOWN.EXEファイルをロードするよう、SYSTEM.INIが改変されます。

[boot]
Explorer=Explorer C:\WINDOWS\WINDOWN.EXE

このトロイの木馬をロードするための補足的な方法として、ICQの起動時にこのファイルをロードするよう、レジストリキーが改変されます。

HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\Run\ Path="C:\WINDOWS\WINDOWN.EXE"

このレジストリキーから、このファイルはパスワードを盗むトロイの木馬、あるいはキーのログファイルであると思われます。AVERTがWindows 98システムでテストしたところ、WINDOWN.EXEファイルはMSVCRT.DLLに不正な障害を引き起こしました。同様にその他の環境でも、現在調査中です。