製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
W32/Yaha.af@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4295
対応定義ファイル
(現在必要とされるバージョン)
4295 (現在7401)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/12/11
発見日(米国日付)03/12/10
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--2003年12月10日更新情報--

・W32/Yaha.af@MMは、以下のメディアの注目を集めたため、危険度を"低〔要注意〕"にしました。http://www.pcpro.co.uk/news/news_story.php?id=51260

・W32/Yaha.af@MMは、定義ファイル4295を使用して圧縮実行ファイルをスキャンすると、総称で検出されます。

・W32/Yaha.af@MMは電子メール、Windowsファイル共有およびKaZaaを介して繁殖します。W32/Yaha.af@MMには、キーロガーとサービス拒否(DoS)発病ルーチンが含まれています。

・W32/Yaha.af@MMは、多数のさまざまな件名、本文、添付ファイル名を使用する電子メールを介して繁殖します。

送信者: Microsoft Support support@microsoft.com
件名: Critical Updates rs
添付ファイル: MS-Q3526.com
本文: Dear Customer,

Thanks for using Microsoft products. Recent viruses have prompted micrsoft to issue patches to all its customers worldwide.

We are including a comprehensive patch for all windows platforms. This patch gives you comprehensive protection against all recent viruses.

Yours sincerely,
JimThompson
Team Support
Microsoft Inc

送信者: Symantec Support support@symantec.com
件名: Fix for W32.Blaster/Welcha
添付ファイル: FixBlast.com or FixBlast.zip
本文: Dear customer,

We are enclosing Fix for both Welcha and Blaster worms as per your request.

Step by Step Instructions for Cleaning W32.Blaster/W32.Welcha Worms:

1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop
     (or removable media that is known to be uninfected, if possible).

2. To check the authenticity of the digital signature, refer to the section, "Digital signature."

3. Close all the running programs before running the tool.

4. If you are running Windows XP, then disable System Restore.
    Refer to the section, "System Restore option in Windows Me/XP," for additional details.

In case of any clarifications please do not hesitate to contact us.

Best Regards,
Neil Thomas
Symantec Support

送信者: Mcafee Support support@nai.com
件名: Fix for the latest W32/Blaster.Z
添付ファイル: Fixblastz.com or FixBlastz.zip
本文: Dear customer,

We are enclosing Fix for W32.Blaster.Z as per your request.

Step by Step Instructions for Cleaning W32.Blaster.Z

1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop
     (or removable media that is known to be uninfected, if possible).

2. To check the authenticity of the digital signature, refer to the section, "Digital signature."

3. Close all the running programs before running the tool.

4. If you are running Windows XP, then disable System Restore.
    Refer to the section, "System Restore option in Windows Me/XP," for additional details.

In case of any clarifications please do not hesitate to contact us.

Best Regards,
Jerry Nelson
McAfee Support

件名: Fw: Critical Patches
添付ファイル: MS-Q3946.EXE
本文: Hi,

I got this mail from Microsot support.  Atlast Microsoft has got a comprehensive patch
for all the vulnerabilities. Once this patch is applied, it takes care of all the recent virus problems
in Microsoft products.

Later....

Microsoft support wrote:

>Thanks for using Microsoft products. Recent viruses have prompted micrsoft to issue patches
>to all its customers worldwide.
>
>We are including a comprehensive patch for all windows platforms. This patch gives you
>comprehensive protection against all recent viruses.
>
>Yours sincerely,
>Kelly
>Team Support
>Microsoft Inc

件名: Hi check your computer with this!!!
添付ファイル: FixBlast.com
本文: Hi,

I am cutting and pasting the message i got from symantec antivirus
I think the last mail you sent me was infected with W32.Blaster. please
use this tool and disinfect your machine.

Bye,

Dear customer,

We are enclosing Fix for both Welcha and Blaster worms as per your request.

Step by Step Instructions for Cleaning W32.Blaster/W32.Welcha Worms:

1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop
2. To check the authenticity of the digital signature, refer to the section, "Digital signature."
3. Close all the running programs before running the tool.
4. If you are running Windows XP, then disable System Restore.

In case of any clarifications please do not hesitate to contact us.

Best Regards,
Neil Thomas
Symantec Support

件名: Your previous message is infected
添付ファイル: FixBlast.com
本文: Hi,

Your previous mail to me is infected with Blaster.

I am attaching the tool i got from symantec site please clean your machine with the same.

Best Rgds,

件名: Fix for New Worm Threat
添付ファイル: FixBlastz.com                                   
本文: Hi,

I got this mail from Mcafee Antivirus Support. There is a new variant of W32.Blaster worm.
I got a special fix today in the early hours, please check your machine with the attached tool.
I have also cut and pasted the steps for cleaning.

Rgds

Dear customer,

We are enclosing Fix for W32.Blaster.Z as per your request.

Step by Step Instructions for Cleaning W32.Blaster.Z

1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop
2. To check the authenticity of the digital signature, refer to the section, "Digital signature."
3. Close all the running programs before running the tool.
4. If you are running Windows XP, then disable System Restore.

In case of any clarifications please do not hesitate to contact us.

Best Regards,
Jerry Nelson
McAfee Support

送信者: Microsoft Support support@microsoft.com
件名: Critical Patches
添付ファイル: MS-Q31338.ZIP
本文: Dear Customer,

Thanks for using Microsoft products. Recent viruses have prompted micrsoft to issue patches
to all its customers worldwide.

We are including a comprehensive patch for all windows platforms. This patch gives you
comprehensive protection against all recent viruses.

Yours sincerely,
JimThompson
Team Support
Microsoft Inc

送信者: System Administrator admin@kpmg.com
件名: Fix for recent viruses
添付ファイル: FIXES.ZIP
本文: Hi All,

I am sending these fixes to the recent viruses which have been making rounds in the IT world.
I request you to install the same in your systems and  pass it to others.

Yours sincerely,
James
System Administrator
KPMG

件名: Your details
添付ファイル: Requirement.zip
本文: Hi,

We have your email id in our database. We have enclosed our requirements.

Expecting your reply at the earliest.

Kind  Rgds,
James Martin


送信者: Support eEye support@eeye.com
件名: Microsoft RPC still vulnerable - Latest worm
添付ファイル: RPCDCOM.ZIP or PATCHRPC.COM
本文: Microsoft RPC Heap Corruption Vulnerability - Part II

Severity:
High (Remote Code Execution).

Description:
eEye Digital Security has discovered a critical remote vulnerability in the way Microsoft
Windows handles certain RPC requests.The RPC (Remote Procedure Call) protocol provides
an inter-process communication mechanism allowing a program running on one computer to
execute code on a remote system. The vulnerability
exists within the DCOM (Distributed Component Object Model) RPC interface.

This interface handles DCOM object activation requests sent by client machines to the server.
By sending a malformed request packet it is possible to overwrite various heap structures and
allow the execution of arbitrary code.

please install the attached patch immediately.


件名: Details
添付ファイル: details.zip or details.pif
本文: Hi,

See the attached file for details.


件名: Thank you
添付ファイル: thankyou.zip or thankyou.pif
本文: Please see the attached file for details


件名: Your document
添付ファイル: your_documents.zip or your_documents.pif
本文: See the attached file for your documents


件名: Your application
添付ファイル: application.zip
本文: Please see the attached file for applicaion details.


件名: Wicked Screen Saver
添付ファイル: wicked.zip or wickedsaver.scr
本文: Hi,

This is the most wicked screen saver i have ever seen.Enjoy!!!


件名: Naughty Movie Clip
添付ファイル: movie3498.zip or naughty.pif
本文: Hi,

This is an interesting movie clip. You will enjoy it.


件名: Hi check your computer with this!!!
添付ファイル: FixBlast.zip or FixBlast.com
本文: Hi,

I am cutting and pasting the message i got from symantec antivirus
I think the last mail you sent me was infected with W32.Blaster. please
use this tool and disinfect your machine.

Bye,

Dear customer,

We are enclosing Fix for both Welcha and Blaster worms as per your request.

Step by Step Instructions for Cleaning W32.Blaster/W32.Welcha Worms:

1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop
2. To check the authenticity of the digital signature, refer to the section, "Digital signature."
3. Close all the running programs before running the tool.
4. If you are running Windows XP, then disable System Restore.

In case of any clarifications please do not hesitate to contact us.

Best Regards,
Neil Thomas
Symantec Support

・添付ファイルが実行されると、ウイルスは自身をMSMGR32.EXEとEXE32.EXEというファイル名で、WINDOWS SYSTEMディレクトリにコピーします。以下のレジストリ実行キーが作成され、起動時に自身を読み込みます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MsManager" = C:\WINNT\System32\MSMGR32.EXE

・他の実行ファイルが実行されるたびに以下のキーがフックされ、自身を読み込みます。

  • HKEY_CLASSES_ROOT\batfile\shell\open\command "(Default)" = "C:\WINNT\System32\EXE32.EXE""%1"%*
  • HKEY_CLASSES_ROOT\comfile\shell\open\command "(Default)" = "C:\WINNT\System32\EXE32.EXE""%1"*
  • HKEY_CLASSES_ROOT\exefile\shell\open\command "(Default)" = "C:\WINNT\System32\EXE32.EXE""%1"%*
  • HKEY_CLASSES_ROOT\scrfile\shell\open\command "(Default)" = "C:\WINNT\System32\EXE32.EXE""%1"%*

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・以下のファイルが存在します。
  • %SysDir%\EXE32.EXE
  • %SysDir%\MSMGR32.EXE
  • %SysDir%\MSS32.DLL

・W32/Yaha.af@MMは、\INETPUB\WWWROOTフォルダにあるファイルに以下のHTMLを追加します。

Ha..Ha..Haaa...

・W32/Yaha.af@MMはDisableRegistryToolsレジストリキーを介してレジストリツールを無効にします。

・W32/Yaha.af@MMはシステムユーティリティアプリケーションを終了しようとします。

  • REGEDIT
  • MSCONFIG
  • PVIEW95
  • EGEDT32
  • PVIEW 5
  • PRCVIEW
  • SYSEDIT
  • REGEDIT32
  • SYSINFO

・W32/Yaha.af@MMは多数のさまざまなセキュリティ関連アプリケーションを終了しようとします。

  • _AVP32
  • _AVP32.EXE
  • _AVPCC
  • _AVPCC.EXE
  • _AVPM
  • _AVPM.EXE
  • AckWin32
  • ACKWIN32
  • AckWin32.exe
  • ACKWIN32.EXE
  • ADVXDWIN
  • ADVXDWIN.EXE
  • agentw.exe
  • ALERTSVC
  • ALERTSVC.EXE
  • ALOGSERV
  • alogserv
  • ALOGSERV
  • alogserv.exe
  • ALOGSERV.EXE
  • AMON9X
  • AMON9X.EXE
  • ANTI-TROJAN
  • ANTI-TROJAN.EXE
  • ANTS
  • ANTS.EXE
  • APVXDWIN
  • apvxdwin
  • APVXDWIN.EXE
  • apvxdwin.exe
  • ATCON
  • ATCON.EXE
  • ATUPDATER
  • ATUPDATER.EXE
  • ATWATCH
  • ATWATCH.EXE
  • AUTODOWN
  • AutoDown
  • AUTODOWN
  • AUTODOWN.exe
  • AutoDown.exe
  • AUTODOWN.EXE
  • AutoTrace
  • AutoTrace.exe
  • AVCONSOL
  • AVCONSOL.EXE
  • AVGCC32
  • AVGCC32.EXE
  • AVGCTRL
  • Avgctrl
  • AVGCTRL.EXE
  • Avgctrl.exe
  • AvgServ
  • AVGSERV
  • AvgServ
  • AVGSERV
  • AVGSERV.EXE
  • AVGSERV9
  • AVGSERV9.EXE
  • AVGW
  • AVGW.EXE
  • avkpop
  • avkpop.exe
  • AvkServ
  • AvkServ.exe
  • avkservice
  • avkservice.exe
  • avkwctl9
  • avkwctl9.exe
  • AVP
  • AVP.EXE
  • AVP32
  • AVP32.EXE
  • AVPCC
  • avpm
  • avpm
  • AVPM
  • avpm.exe
  • AVPM.EXE
  • Avsched32
  • Avsched32.exe
  • AvSynMgr
  • AvSynMgr
  • AVSYNMGR
  • AVSYNMGR.exe
  • AVWINNT
  • AVWINNT.EXE
  • AVXMONITOR9X
  • AVXMONITOR9X.EXE
  • AVXMONITORNT
  • AVXMONITORNT.EXE
  • AVXQUAR
  • AVXQUAR.EXE
  • AVXQUAR.EXE.EXE
  • AVXW
  • AVXW.EXE
  • blackd
  • BLACKD
  • blackd.exe
  • BLACKD.EXE
  • BlackICE
  • BlackICE.exe
  • CDP.EXE
  • cfgWiz
  • cfgWiz.exe
  • Claw95
  • Claw95
  • CLAW95
  • Claw95.exe
  • CLAW95.EXE
  • Claw95cf
  • CLAW95CF
  • Claw95cf.exe
  • CLAW95CF.EXE
  • cleaner
  • cleaner.EXE
  • cleaner3
  • cleaner3.EXE
  • CMGRDIAN
  • CMGrdian
  • CMGRDIAN
  • CMGRDIAN.EXE
  • CONNECTIONMONITOR
  • CONNECTIONMONITOR.EXE
  • CPD
  • cpd.exe
  • CPDClnt
  • CPDCLNT.EXE
  • CPDClnt.exe
  • CTRL
  • CTRL.EXE
  • defalert
  • defalert.exe
  • defscangui
  • defscangui.exe
  • DEFWATCH
  • DEFWATCH.EXE
  • DOORS
  • DOORS.EXE
  • DVP95
  • DVP95.EXE
  • DVP95_0
  • DVP95_0.EXE
  • EFPEADM
  • EFPEADM.exe
  • EFPEADM.EXE
  • ETRUSTCIPE
  • ETRUSTCIPE.exe
  • ETRUSTCIPE.EXE
  • EVPN
  • EVPN.exe
  • EVPN.EXE
  • EXPERT
  • EXPERT.EXE
  • F-AGNT95
  • F-AGNT95.EXE
  • fameh32
  • fameh32.exe
  • fch32
  • fch32.exe
  • fih32
  • fih32.exe
  • fnrb32
  • fnrb32.exe
  • F-PROT
  • F-PROT.EXE
  • F-PROT95
  • F-PROT95.EXE
  • FP-WIN
  • FP-WIN.EXE
  • FRW
  • FRW.EXE
  • fsaa
  • fsaa.exe
  • fsav32
  • fsav32.exe
  • fsgk32
  • fsgk32.exe
  • fsm32
  • fsm32.exe
  • fsma32
  • fsma32.exe
  • fsmb32
  • fsmb32.exe
  • f-stopw
  • F-STOPW
  • f-stopw.exe
  • F-STOPW.EXE
  • gbmenu
  • gbmenu.exe
  • GBPOLL
  • gbpoll
  • GBPOLL.EXE
  • gbpoll.exe
  • GENERICS
  • GENERICS.EXE
  • GUARD
  • GUARD.EXE
  • GUARDDOG
  • GUARDDOG.EXE
  • iamapp
  • IAMAPP
  • iamapp.exe
  • IAMAPP.EXE
  • iamserv
  • IAMSERV
  • iamserv.exe
  • IAMSERV.EXE
  • IAMSTATS
  • IAMSTATS.EXE
  • ICLOAD95
  • ICLOAD95.EXE
  • ICLOADNT
  • ICLOADNT.EXE
  • ICMON
  • ICMON.EXE
  • ICSUPP95
  • ICSUPP95.EXE
  • ICSUPPNT
  • ICSUPPNT.EXE
  • IFACE
  • IFACE.EXE
  • IOMON98
  • IOMON98.EXE
  • ISRV95
  • ISRV95.EXE
  • JEDI
  • JEDI.EXE
  • KerioPersonalFirewallMainWindow
  • KPF3gui_wnd
  • KPF3MainWindow
  • LDNETMON
  • LDNETMON.EXE
  • LDPROMENU
  • LDPROMENU.EXE
  • LDSCAN
  • LDSCAN.EXE
  • LOCKDOWN
  • LOCKDOWN.EXE
  • lockdown2000
  • LOCKDOWN2000
  • lockdown2000.exe
  • LOCKDOWN2000.EXE
  • LUALL
  • LUALL.EXE
  • LUCOMSERVER
  • LUCOMSERVER.EXE
  • LUSPT
  • LUSPT.exe
  • McAfee_FwClientClass
  • MCAGENT
  • MCAGENT.EXE
  • MCMNHDLR
  • MCMNHDLR.EXE
  • Mcshield.exe
  • MCTOOL
  • MCTOOL.EXE
  • MCUPDATE
  • MCUPDATE.EXE
  • MCVSRTE
  • MCVSRTE.EXE
  • MCVSSHLD
  • MCVSSHLD.EXE
  • MGAVRTCL
  • MGAVRTCL.EXE
  • MGAVRTE
  • MGAVRTE.EXE
  • MGHTML
  • MGHTML.EXE
  • MINILOG
  • MINILOG.EXE
  • Monitor
  • MONITOR
  • Monitor.exe
  • MONITOR.EXE
  • MOOLIVE
  • MOOLIVE.EXE
  • MPFAGENT.EXE
  • MPFSERVICE
  • MPFSERVICE.exe
  • MPFTRAY.EXE
  • MWATCH
  • MWATCH.exe
  • MWATCH.EXE
  • NAV Auto-Protect
  • NAV Auto-Protect
  • NAVAP
  • navapsvc
  • NAVAPSVC.EXE
  • navapsvc.exe
  • navapw32
  • NAVAPW32
  • NAVAPW32.EXE
  • NAVENGNAVEX15
  • NAVENGNAVEX15
  • NAVLU32
  • NAVLU32.EXE
  • Navw32
  • NAVW32
  • Navw32.exe
  • NAVWNT
  • NAVWNT.EXE
  • NDD32
  • NDD32.EXE
  • NeoWatchLog
  • NeoWatchLog.exe
  • NETUTILS
  • NETUTILS.EXE
  • NISSERV
  • NISSERV.EXE
  • NISUM
  • NISUM.EXE
  • NMAIN
  • NMAIN.EXE
  • NORMIST
  • NORMIST.EXE
  • notstart
  • notstart.exe
  • NPROTECT
  • NPROTECT.EXE
  • npscheck
  • npscheck.exe
  • NPSSVC
  • NPSSVC.EXE
  • NSCHED32
  • NSCHED32.EXE
  • ntrtscan
  • ntrtscan.EXE
  • NTVDM
  • NTVDM.EXE
  • NTXconfig
  • NTXconfig.exe
  • Nui.EXE
  • Nupgrade
  • Nupgrade.exe
  • NVC95
  • NVC95.EXE
  • NVSVC32
  • NVSVC32
  • NWService
  • NWService.exe
  • NWTOOL16
  • NWTOOL16.EXE
  • Outpost Service
  • OutpostMainWindowClass
  • PADMIN
  • PADMIN.EXE
  • PAVPROXY
  • pavproxy
  • PAVPROXY.EXE
  • pavproxy.exe
  • PCCIOMON
  • PCCIOMON.EXE
  • pccntmon
  • pccntmon.EXE
  • pccwin97
  • pccwin97.EXE
  • PCCWIN98
  • PCCWIN98.EXE
  • pcscan
  • pcscan.EXE
  • PERSFW
  • PERSFW.EXE
  • PERSWF
  • PERSWF.EXE
  • POP3TRAP
  • POP3TRAP.EXE
  • POPROXY
  • POPROXY.EXE
  • PORTMONITOR
  • PORTMONITOR.EXE
  • PROCESSMONITOR
  • PROCESSMONITOR.EXE
  • PROGRAMAUDITOR
  • PROGRAMAUDITOR.EXE
  • PVIEW95
  • PVIEW95.EXE
  • rapapp.exe
  • RAV7
  • RAV7.EXE
  • RAV7WIN
  • RAV7WIN.EXE
  • REALMON
  • REALMON.EXE
  • Rescue
  • RESCUE
  • Rescue.exe
  • RESCUE.EXE
  • RTVSCN95
  • RTVSCN95.EXE
  • RULAUNCH
  • RULAUNCH.EXE
  • sbserv
  • sbserv.exe
  • SCAN32
  • SCAN32.EXE
  • SCRSCAN
  • SCRSCAN.EXE
  • Smc
  • SMC.EXE
  • Sphinx
  • SPHINX
  • Sphinx.exe
  • SPHINX.EXE
  • SPYXX
  • SPYXX.EXE
  • SS3EDIT
  • SS3EDIT.EXE
  • SWEEP95
  • SWEEP95.EXE
  • SweepNet
  • SWEEPSRV.SYS
  • SWNETSUP
  • SWNETSUP.EXE
  • Sygate Personal Firewall
  • SymProxySvc
  • SymProxySvc.exe
  • SYMTRAY
  • SYMTRAY.EXE
  • TAUMON
  • TAUMON.EXE
  • TC
  • TC.EXE
  • TCA
  • TCA.EXE
  • TCM
  • TCM.EXE
  • TDS-3
  • TDS-3.EXE
  • TFAK
  • TFAK.EXE
  • TinyPersonalFirewallMainWindow
  • vbcmserv
  • vbcmserv
  • vbcmserv.exe
  • vbcmserv.exe
  • VbCons
  • VbCons.exe
  • VET32
  • VET32.exe
  • VET32.EXE
  • Vet95
  • VET95
  • Vet95.exe
  • VET95.EXE
  • VetTray
  • VETTRAY
  • VetTray.exe
  • VETTRAY.EXE
  • VIR-HELP
  • VIR-HELP.EXE
  • VPC32
  • VPC32.EXE
  • VPTRAY
  • VPTRAY.EXE
  • VSCHED
  • VSCHED.EXE
  • VSECOMR
  • VSECOMR.EXE
  • vshwin32
  • VSHWIN32
  • VSHWIN32.EXE
  • VSMAIN
  • VSMAIN.EXE
  • vsmon
  • vsmon.exe
  • VSMON.EXE
  • VSSTAT
  • VSSTAT
  • VSSTAT.EXE
  • WATCHDOG
  • WATCHDOG.EXE
  • WEBSCANX
  • WEBSCANX.EXE
  • WEBTRAP
  • WEBTRAP.EXE
  • WGFE95
  • WGFE95.EXE
  • WIMMUN32
  • WIMMUN32.EXE
  • WrAdmin
  • WRADMIN
  • WRADMIN
  • WrAdmin.exe
  • WRADMIN.EXE
  • WRADMIN.EXE
  • WrCtrl
  • WRCTRL
  • WrCtrl.exe
  • WRCTRL.EXE
  • zapro
  • zapro.exe
  • zonealarm
  • zonealarm.exe

感染方法TOPへ戻る

電子メールを介した繁殖

・W32/Yaha.af@MMは、自身のSMTPエンジンを使用して感染したシステムからメッセージを送信します。

・この情報掲載時点ではAVERTによるテストで電子メールの送信は観察されませんでしたが、W32/Yaha.af@MM内の文字列を見ると、以下で発見されるすべての電子メールアドレスに自身を電子メールで送信すると考えられます。

  • Windowsのアドレス帳
  • MSN Messenger
  • .NET Messenger
  • ICQ Pager
  • Yahoo Pager
  • *.HT*に一致するファイルから入手したアドレス

・これまでに発見されたW32/Yahaの亜種と同様に、W32/Yaha.af@MM内の文字列からアドレスが偽造されることが考えられます。

ネットワーク共有を介した繁殖

・W32/Yaha.af@MMは、リモート共有上にある特定のフォルダ(ワームにハードコード化されている)のWIN.INIファイルを検索します。WIN.INIファイルが存在する場合は、該当するフォルダにMCCP32.EXEというファイル名で自身をコピーし、WIN.INIファイルに以下のフックを追加します。

  • [windows]
  • run=MCCP32.EXE

・以下のフォルダを検索します。

  • \WINDOWS\WIN.INI
  • \WIN98\WIN.INI
  • \WIN95\WIN.INI
  • \WINNT\WIN.INI
  • \WIN\WIN.INI
  • \WINME\WIN.INI
  • \WINXP\WIN.INI

・さらに、W32/Yaha.af@MMはリモートネットワークドライブの以下のフォルダも検索します。

  • \DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP

KaZaaを介した繁殖

・W32/Yaha.af@MMはレジストリからデフォルトのダウンロードディレクトリを取得し、そのディレクトリにすでに存在するファイルと入れ替わります。

ドメインの遮断

・WindowsフォルダにあるHOSTSとLMHOSTSファイルを改変し、ユーザが以下のWebサイトにアクセスできないようにします。

  • www.symantec.com
  • www.microsoft.com
  • www.sophos.com
  • www.avp.ch
  • www.mcafee.com
  • www.trendmicro.com
  • www.pandasoftware.com
  • www3.ca.com
  • www.ca.com
  • サービス拒否(DoS)

・W32/Yaha.af@MMは以下のサイトでサービス拒否(DoS)を実行します。

  • pakrail.com
  • paic.com.pk
  • jamaat.org
  • kse.net.pk
  • pak.gov.pk
  • Keylogging

キーロギング

・W32/Yaha.af@MMには、入力されたキーストローク情報を収集し、特定のアドレスに電子メールで送信するコードが含まれています。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足