製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
W32/Yaha.g@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4208
対応定義ファイル
(現在必要とされるバージョン)
4317 (現在7605)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Yaha.F@mm (Symantec)
W32/Lentin.E (Panda)
W32/Yaha-E (Sophos)
Worm/Lentin.F (CentralCommand)
WORM_YAHA.E (Trend)
Yaha.E (F-Secure)
亜種W32/Yaha.g.dam
情報掲載日02/06/21
発見日(米国日付)2002/06/15
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/27Generic Down...
10/27RDN/PWS-Mmor...
10/27RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7605
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
  • この大量メール送信型ウイルスは、SMTP を使用して、ローカル システムに存在しているアドレスに自身を送信しようとします。このウイルスは、次のような電子メールで届きます。
    件名Fw: (次の文字列の1つまたは組み合わせが入る:
    searching for true Love、you care ur friend、Who is ur Best Friend、make ur friend happy、True Love、Dont wait for long time、Free Screen saver、Friendship Screen saver、Looking for Friendship、Need a friend?、Find a good friend、Best Friends、I am For u、Life for enjoyment、Nothink to worryy、Ur My Best Friend、Say 'I Like You'、To ur friend、Easy Way to revel ur love、Wowwwwwwwwwww check it、Send This to everybody u like、Enjoy Romantic life、Let's Dance and forget pains、war Againest Loneliness、How sweet this Screen saver、Let's Laugh、One Way to Love、Learn How To Love、Are you looking for Love、love speaks from the heart、Enjoy friendship、Shake it baby、Shake ur friends、One Hackers Love、Origin of Friendship、The world of lovers、The world of Friendship、Check ur friends Circle Friendship、how are you、U r the person? Hi、U realy Want this、Romantic、humour、New、Wonderfool、excite、Cool、charming、Idiot、Nice、Bullshit、One、Funny、Great、LoveGangs、Shaking、powful、Joke、Interesting、Screensaver、Friendship、Love、relations、stuff、to ur friends、to ur lovers、for you、to see、to check、to watch、to enjoy、to share)
    本文 注: 本文には、作成された URL が含まれています。URL は次の文字列から作成されます。
    (screensaver、screensaver4u、screensaverforu、freescreensaver、love、lovers、lovescr、loverscreensaver、loversgang、loveshore、love4u、lovers、enjoylove、sharelove、shareit、checkfriends、urfriend、friendscircle、friendship、friends、friendscr、friends、friends4u、friendship4u、friendshipbird、friendshipforu、friendsworld、werfriends、passion、bullshitscr、shakeit、shakescr、shakinglove、shakingfriendship、passionup、rishtha、greetings、lovegreetings、friendsgreetings、friendsearch、lovefinder、truefriends、truelovers、fucker)
    この後に、.com、.net、または.orgが付きます。

    本文は下記のいずれかです。

    Hi
    Check the Attachement ..
    See u

    または

    Hi Check the Attachement ..

    または

    Attached one Gift for u..

    または

    wOW CHECK THIS
    送信者の名前

    次に
    This message was created automatically by mail delivery software (Exim).

    A message that you sent could not be delivered to one or more of its recipients.

    This is a permanent error. The following address(es) failed:感染した送信者の電子メール アドレス

    For further assistance, please contact < postmaster@ 作成された URL > If you do so, please include this problem report. You can delete your own text from the message returned below.

    Copy of your message, including all the headers is attached

    または

    ----- Original Message -----
    From: "freescreensaver" < 作成されたURL >
    To: < 受信者のアドレス >
    Sent: 日付/時刻
    Subject: ランダムに作成された件名

    This e-mail is never sent unsolicited. If you need to unsubscribe,
    follow the instructions at the bottom of the message.
    ***********************************************************

    Enjoy this friendship Screen Saver and Check ur friends circle...

    Send this screensaver from www.作成されたURL to everyone you
    consider a FRIEND, even if it means sending it back to the person
    who sent it to you. If it comes back to you, then you'll know you
    have a circle of friends.

    * To remove yourself from this mailing list, point your browser to:
    http://作成されたURL/remove?freescreensaver
    * Enter your email address (受信者のアドレス) in the field provided and click "Unsubscribe".

    OR...

    * Reply to this message with the word "REMOVE" in the subject line.

    This message was sent to address 受信者のアドレス
    X-PMG-Recipient: 受信者のアドレス

    <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

    添付ファイル(ファイル拡張子は次の2つの文字列から成る:
    ".doc"、".mp3"、.xls"、".wav"、".txt"、".jpg"、".gif"、".dat"、".bmp"、".htm"、".mpg"、".mdb"、".zip"、""のうち1つと、その後に".pif"、".bat"、".scr"のうち1つ。
    ファイル名は次から選ばれる:loveletter、resume、biodata、dailyreport、mountan、goldfish、weeklyreport、report、love)
  • 送信されるメッセージの中には、不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)という脆弱点を利用するものもあります。この脆弱点が利用された場合、パッチが当てられていないシステムは、この添付ファイルを自動的に実行します。パッチが当てられているシステムでは、添付ファイルは手動でないと実行されません。
  • このウイルスは、起動すると、自身のコピーを「ごみ箱」に作成し、ランダムな4文字の名前をつけます。また、.EXEファイルの実行時に必ず自身のプログラムが読み込まれるように、次のレジストリをフックします。
    • HKEY_CLASSES_ROOT\exefile\shell\open\command\default="%virus_path%" %1 %*"
  • Windowsディレクトリに、上記と同じランダムな名前のテキスト ファイルが保存されます。このテキストファイルの内容は次のとおりです。

    <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

    iNDian sNakes pResents yAha.E

    iNDian hACkers,Vxers c0me & w0Rk wITh uS & fUCk tHE GFORCE-pAK shites

    bY

    sNAkeeYes,c0Bra

    <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • このウイルスが起動すると、次のメッセージのいずれかが表示されることがある。
    • Ur My Best Friend!!
    • No Configuration is availabile Now
    • Config
    • madd
    • U r so cute today #!#!
    • True Love never ends
    • I like U very much!!!
    • U r My Best Friend
  • スクリーン セーバーが表示されることがある。画像が揺れていることもある。

感染方法TOPへ戻る
  • このウイルスは、起動すると、次のプロセスを停止させようとすることがある(メモリ内で実行中の場合)。
    • ANTIVIR
    • ATRACK
    • AVCONSOL
    • AVP.EXE
    • AVP32
    • AVSYNMGR
    • CFINET
    • CFINET32
    • F-PROT95
    • FP-WIN
    • F-STOPW
    • IAMAPP
    • ICMON
    • IOMON98
    • LOCKDOWN2000
    • LUALL
    • LUCOMSERVER
    • MCAFEE
    • NAVAPSVC
    • NAVAPW32
    • NAVLU32
    • NAVRUNR
    • NAVW32
    • NAVWNT
    • NISSERV
    • NISUM
    • NMAIN
    • NORTON
    • NVC95
    • PCCWIN98
    • POP3TRAP
    • PVIEW95
    • RESCUE32
    • SAFEWEB
    • SCAM32
    • SIRC32
    • SYMPROXYSVC
    • VSHWIN32
    • VSSTAT
    • WEBSCANX
    • WEBTRAP
    • WINK
    • ZONEALARM
  • このウイルスは、*ht*および*HoTMaiL*ファイル内のMAILTOリンク、Windowsのアドレス帳、MSN Messenger、ICQ、Yahoo Pagerのコンタクトリストから電子メールアドレスを収集しようとする。取得したアドレスに、SMTPを使用してメッセージを送信する。デフォルトのSMTPサーバは、次のレジストリから取得される。
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
  • また、このウイルスは、MIMEでエンコードされた自身のコピーをTEMPディレクトリに「kitkat」として保存し、これを利用して自身を大量メール送信する。
    • W32/Yaha.g@MMは共有ネットーワークを介して繁殖するようコードされており、以下の名前の共有を検索する。
      • WIN
      • WIN95
      • WIN98
      • WINDOWS
      • WINNT
      • WINME
      • WINXP
    • 上記の共有にMSTASKMON.EXEというファイル名で自身のコピーを作成し、リモートのWIN.INIファイルを改変してシステム起動時にウイルスを読み込むようにする。

駆除方法TOPへ戻る
  • このトロイの木馬を駆除するのは、OSに深く繋がっているため複雑です。
  • 一つの方法としてAVERTはレジストリエディタのオリジナルの拡張子である.EXEを.COM(REGEDIT.COMのように)に変更する手段を見つけています。これは、トロイの木馬を駆除する前にレジストリを編集(修復)できる限られた手段になります。これによりトロイの木馬やインターネットウイルスを駆除することが可能になります。
  • レジストリ スクリプトファイルよりレジストリを修復します。UNDO.REGをダウンロードして実行して下さい。

---- 手動駆除方法 ----

  1. ウイルススキャンでこのトロイの木馬に関れ付けられているファイルを検知します。
  2. 「スタート」→「ファイル名を指定して実行」メニューをクリックし、以下のコマンドをタイプし、エンターキーを押して下さい。

    COMMAND /C COPY %WINDIR%\REGEDIT.EXE %WINDIR%\REGEDIT.COM

  3. スタートをクリックし、REGEDIT.COMとタイプし、エンターキーを押して下さい。
  4. 以下のレジストリキーからトロイの木馬に関連するものを取り除いて下さい。

    HKEY_CLASSES_ROOT\exefile\shell\open\command\

    これらのレジストリは[''%1'' %*]が正しい値になります。

  5. システムを再起動して下さい。
  6. トロイの木馬のプログラムを削除します。すべてのファイルが削除できれば、駆除は成功です。