製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
W32/Yaha.j@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4238
対応定義ファイル
(現在必要とされるバージョン)
4309 (現在7607)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日02/12/16
発見日(米国日付)02/12/13
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
  • このウイルスはニューズグループに対して、膨大なポスティングをします。
  • McAfee Productsでは、プログラムヒューリスティクが可能な4177DAT(2001年12月19日リリース)またはそれより上のバージョンのDATを使って、新種のウイルスまたはその亜種として検出します。
  • 初期のAVERTによるテスト結果ではバグが多くなります。完全な詳細は一度ウイルス分析が完了してから送られます。
  • そのため、ウイルスメールのコピーはAVERTによるテストからは見られませんでした。しかし、ウイルスに含まれる文字列は、意図するメッセージのフォーマットが少なくとも一つ前のW32/Yahaウイルスの亜種に類似しているといえます。
  • 添付ファイル:'.xxx .scr'の2つの拡張子を使用。'.xxx'は次の拡張子のうちのいずれか PDF, GIF, PPT, JPG, DOC.
  • このウイルスは、次のような電子メールで届きます。
    本文
    <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
    This e-mail is never sent unsolicited. If you need to unsubscribe,
    follow the instructions at the bottom of the message.
    ***********************************************************

    Enjoy this friendship Screen Saver and Check ur friends circle...

    Send this screensaver from www.screensaverforu.com to everyone you
    consider a FRIEND, even if it means sending it back to the person
    who sent it to you. If it comes back to you, then you'll know you have a circle of friends.

    * To remove yourself from this mailing list, point your browser to:
    http://screensaverforu.com/remove?freescreensaver
    * Enter your email address (Sender's address) in the field provided and click "Unsubscribe".

    OR...

    * Reply to this message with the word "REMOVE" in the subject line.

    This message was sent to address Recipient's address
    X-PMG-Recipient: Recipient's address
    <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>> <<<>>> <<<>>>

  • このウイルスは以下の文字列を含む。

    r^0^x~X pR3$@Nt$ @Y3rH$.@?? tHi$ i$ jU$t tH3 b3gInNiNg..?w3 ar3 tH3 gR3@t 1nD1@N$..??w3 k1cK pAk1 a$$..

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • このウイルスは、実行されると、次のようなニセエラーメッセージを表示する。

  • このウイルスは感染マシンのウィンドウズディレクトリに自身を WINREG.EXE, NAV32.EXE 、 MSNMSG32.EXE としてコピーします。
  • ウィンドウズを起動時にフックするために以下のレジストリキーを追加します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"winReg" = C:\WINDOWS\SYSTEM\winReg.exe
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"winReg" = C:\WINDOWS\SYSTEM\winReg.exe
  • 次に実行するEXEファイルもフックします。
  • HKEY_CLASSES_ROOT\exefile\shell\open\command"(Default)"
  • "%1" %* から "C:\WINDOWS\SYSTEM\nav32.exe""%1"%* にフォームを変更
  • 更にウイルスは自身をウィンドウズディレクトリに以下のファイル名でコピーします(NT/2000のテスト結果による)。
  • bestfriend.scr
  • mAtRiX.scr
  • EvilDaemon.scr
  • Love.scr
  • Escort.scr
  • NeverMind.scr
  • HotShot.scr
  • Honey.scr
  • ScreenSaver.scr
  • LoverScreenSaver.scr
  • このウイルスは、起動すると、下記の文字列を含むプロセスを終了させます。
    • NORTON
    • NVC95
    • FP-WIN PCCWIN98
    • F-PROT95
    • F-STOPW
    • PVIEW95
    • NAVWNT
    • NAVRUNR
    • NAVLU32
    • NAVAPSVC
    • NISUM
    • SYMPROXYSVC
    • RESCUE32
    • NISSERV
    • VSECOMR
    • VETTRAY
    • TDS2-NT
    • TDS2-98
    • SCAN32
    • PCFWALLICON
    • NSCHED32
    • FRW.EXE
    • MCAFEE
    • ATRACK
    • IAMAPP
    • LUCOMSERVER
    • LUALL
    • NMAIN
    • NAVW32
    • NAVAPW32
    • VSSTAT
    • VSHWIN32
    • AVSYNMGR
    • AVCONSOL
    • WEBTRAP
    • POP3TRAP
    • PCCMAIN
    • PCCIOMON
    • ESAFE.EXE
    • AVPM.EXE
    • AVPCC.EXE
    • AMON.EX
    • ALERTSVC
    • ZONEALARM
    • AVP32
    • LOCKDOWN2000
    • AVP.EXE
    • CFINET32
    • CFINET
    • ICMON
    • SAFEWEB
    • WEBSCANX
    • LOCKDOWNADVANCED
    • APACHE.EXE
    • ANTIVIR
  • 感染方法TOPへ戻る
    • このウイルスは感染マシンが起動すると、自身をインストールします。そして様々なプロセス(AV,セキュリティ製品関連)を終了させます。

    駆除方法TOPへ戻る
    ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

    Windows ME/XPでの駆除についての補足