ウイルス情報

ウイルス名 危険度

W32/Whitebait.gen@MM

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4184
対応定義ファイル
(現在必要とされるバージョン)
4302 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Blaire (AVP)
W32.Whitebait@mm (NAV)
Win32.WhiteBait (CA)
情報掲載日 02/02/04
発見日(米国日付) 02/01/29
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


概要

TOPへ戻る

ウイルスの特徴

このメール大量送信ウイルスはリモートアクセス型トロイの木馬を落とし込み、ローカルシステムにあるファイルから収集したメールアドレスに自身を送信します。現在、メールサーバー(smtp.wanadoo.fr)が接続されていないので、他所にウイルス自身をメールすることはありません。

このウイルスは以下のようなメールを送信します。

送信者: security@microsoft.com
件名: WARNING : Black_Piranha

本文: Si vous pouvez lire cet e-mail, c'est que les services Microsoft on dTtecter la prTsence du virus Black_Piranha dans votre systFme Windows. pour dTsinfecter votre systFme vous n'avez qu'a exTcuter le programme en piece jointe. Pour plus d'informations : http://www.microsoft.com

添付ファイル: MSsecu.exe

添付ファイルを実行するとローカルマシンが感染します。MSsecu.exeファイルはWINDOWSディレクトリにコピーされます。ウィンドウの中でポルノ画像が表示され、トロイの木馬を落とし込みます。

WINDOWSディレクトリにウイルスとトロイの木馬をWINSYSTEM.EXEとして落とし込み、スタートアップ時に読み込ませるようにレジストリを書き換えます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\WinSystem=C:\WINDOWS\WinSystem.exe

WinSystemは以下のファイルからメールアドレスを収集します。

  • .ASP
  • .HTM
  • .HTML
  • .PHP
  • README.TXT
収集されたメールアドレスはWINDOWSディレクトリにBDN.COMというファイル名で保存されます。 このウイルスはトロイの木馬の動作もします。314ポートをチェックし、ウイルス作成者mister_314@pokelord.zzn.comにIPアドレスをメールします。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

下記のファイルが存在する。
  • %WinDir%\BDN.COM
  • %WinDir%\MSSECU.EXE
  • %WinDir%\WINSYSTEM.EXE

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る