製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
W32/Yaha.p@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4251
対応定義ファイル
(現在必要とされるバージョン)
4309 (現在7544)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/03/04
発見日(米国日付)03/02/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/30FakeAV-M.bfr...
08/30Generic.tfr!...
08/30PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 




ウイルスの特徴TOPに戻る
2003年3月12日更新情報

メディアの注目があるため、危険度を「低:要注意」に引き上げました。

・W32/Yaha.p@MMは、電子メールとネットワーク共有で繁殖します。このワームは内蔵されたSMTPエンジンを使用して、電子メールメッセージを作成します。特定のプロセス(ウイルス対策、セキュリティ関連)が実行中の場合は終了させます。リモートマシン(ターゲットマシンはワームにハードコード化されています)に対してサービス拒否攻撃を仕掛けるコードを含んでいます。

ネットワークを介した繁殖

・W32/Yaha.p@MMはリモートの共有にある特定のフォルダ(ワームにハードコード化されています)のWIN.INIファイルを検索します(テストでは、マップ済みのネットワークドライブのみを検索しました)。WIN.INIファイルが存在する場合は、ワームはそのフォルダにREG32.EXEというファイル名で自身をコピーし、WIN.INIファイルに次のフックを追加します。

  • [windows]
    run=REG32.EXE

・以下のフォルダを検索します。

  • \WINDOWS\WIN.INI
  • \WIN98\WIN.INI
  • \WIN95\WIN.INI
  • \WINNT\WIN.INI
  • \WIN\WIN.INI
  • \WINME\WIN.INI
  • \WINXP\WIN.INI

・また、リモートネットワークドライブの以下のフォルダも検索します(テストでは、マップ済みのドライブのみを検索しました)。

  • \DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP
  • ・WIN.INIファイルが上記のフォルダに存在する場合は、ワームはMSREGSCANNER.EXEというファイル名で自身のコピーを作成します。

    大量メール送信

    ・W32/Yaha.p@MMは、さまざまな件名、ファイル名、本文の電子メールメッセージで届きます。これらの件名、ファイル名、本文は、ワームの本体に内蔵されています。ワームのコードをみると、これまでに発見されたW32/Yahaの亜種と同様に送信者アドレスを偽造するようです。送信者の電子メールアドレスには以下のアドレスを使用します。

    • admin@clubjenna.com
    • admin@codeproject2.com
    • admin@hackers2.com
    • admin@hackersclub2.com
    • admin@kofonline2.com
    • admin@zpornstars.com
    • av_patch@mcafee.com
    • av_patch@norton.com
    • av_patch@trendmicro.com
    • btq@2632.com
    • caijob@online.sh.cn
    • cathy@21cn.com
    • cupid@freescreensavers.com
    • DNA_seraph@163.com
    • ericpan@online.com.pk
    • free@hardcorescreensavers.com
    • free@sexyscreensavers.com
    • free@sql.library.com
    • free@xxxscreensavers.com
    • hamada@seikosangyo.com
    • jenna@jennajameson.com
    • kkn@k2k.comscreensavers@nomadic.com
    • kl@aminoprojects.com
    • love@lovescreensavers.com
    • loverscreensavers@love.com
    • lubing@7135.com
    • luoairong@21cn.com
    • marketing@suppersoccer.com
    • me@me2K.com
    • newsletters@britneyspears.org
    • nics@noma.com
    • paul@kqscore2.com
    • plus@real.com
    • ravs@go2pussy.com
    • romanticscreensavers@love.com
    • sales@playboy.com
    • sales@real.com
    • samsun@online.sh.cn
    • screensavers@lovers.com
    • services@tcsonline2.com
    • stone@esterplaza.com
    • super@21cn.com
    • therock@wwe.com
    • valentinescreensavers@t2k.com
    • yjworks@online.sh.cn
    • zdenka@zpornstars.com
    • zhouyuye@citiz.net

    ・以下の件名、添付ファイル名、本文を使用します。

    件名

    • Are you a Soccer Fan ?
    • Are you beautiful
    • Are you in Love
    • Are you looking for Love
    • Are you the BEST
    • Check it out
    • Check this shit
    • Check ur friends Circle
    • Demo KOF 2002
    • Feel the fragrance of Love
    • Find a good friend
    • Freak Out
    • Free Demo Game
    • Free Screenavers of Love
    • Free Screensavers 4 U
    • Free Screensavers
    • Free Win32 API source
    • Free XXX
    • Free rAVs Screensavers
    • Hardcore Screensavers 4 U
    • Hip Shake it baby
    • Hip
    • How sweet this Screen saver
    • I Love You..
    • I Love You
    • I am in Love
    • Jenna 4 U
    • Learn How To Love
    • Learn SQL 4 Free
    • Let's Dance and forget pains
    • Looking for Friends
    • Lovers Corner
    • Need a friend?
    • Need money ??
    • One Hacker's Love
    • One Virus Writer's Story
    • Patch for Elkern.gen
    • Patch for Klez.H
    • Play KOF 2002 4 Free
    • Project Sample Screensavers
    • Sample KOF 2002
    • Sample Playboy
    • Say 'I Like You' To ur friend
    • Screensavers from Club Jenna
    • Sexy Screensavers 4 U
    • The Hotmail Hack
    • The King of KOF Wanna Brawl ??
    • The world of Friends
    • Things to note
    • True Love
    • U realy Want this
    • Visit us
    • WWE Screensavers
    • Wanna Hack ??
    • Wanna Rumble ??
    • Wanna be a HE-MAN
    • Wanna be friends ?
    • Wanna be friends ??
    • Wanna be like a stone ?
    • Wanna be my sweetheart ??
    • We want peace
    • Who is ur Best Friend
    • Who is your Valentine
    • World Tour Whats up
    • Wowwwwwwwwwww check it
    • XXX Screensavers 4 U
    • You are so sweet
    • hey check it yaar
    • love speaks from the heart
    • make ur friend happy
    • to ur friends
    • to ur lovers
    • war Againest Loneliness

    添付ファイル名:

    • Beautifull.scr
    • Body_Building.scr
    • Britney_Sample.scr
    • Codeproject.scr
    • Cupid.scr
    • FixElkern.com
    • FixKlez.com
    • FreakOut.exe
    • Free_Love_Screensavers.scr
    • Hacker.scr
    • Hacker_The_LoveStory.scr
    • Hardcore4Free.scr
    • I_Love_You.scr
    • Jenna_Jemson.scr
    • KOF.exe
    • KOF2002.exe
    • KOF_Demo.exe
    • KOF_Fighting.exe
    • KOF_Sample.exe
    • KOF_The_Game.exe
    • King_of_Figthers.exe
    • Love.scr
    • MyPic.scr
    • MyProfile.scr
    • My_Sexy_Pic.scr
    • Notes.exe
    • Peace.scr
    • Playboy.scr
    • Plus2.scr
    • Plus6.scr
    • Project.exe
    • Ravs.scr
    • Real.scr
    • Romantic.scr
    • Romeo_Juliet.scr
    • SQL_4_Free.scr
    • Screensavers.scr
    • Services.scr
    • Sex.scr
    • Sexy_Jenna.scr
    • Soccer.scr
    • Stone.scr
    • Sweetheart.scr
    • THEROCK.scr
    • The_Best.scr
    • VXer_The_LoveStory.scr
    • Valentines_Day.scr
    • Ways_To_Earn_Money.exe
    • World_Tour.scr
    • up_life.scr
    • xxx4Free.scr
    • zDenka.scr
    • zXXX_BROWSER.exe

    本文:






































    ・ワームの文字列をみると、(パッチを適用していないシステムで)電子メールメッセージをプレビュー表示すると自身を実行するようにInternet Explorerの2つの脆弱性(IFRAMEおよび不適切なMIMEヘッダの脆弱性)を含んだ送信メッセージとなっています。これらの脆弱性に関する詳細情報とパッチについてはMicrosoft Security Bulletin (MS01-020)をご覧ください。

    以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

    ・ Windows Systemフォルダに以下のファイル名で自身のコピーを作成します。

    • EXELOADER.EXE
    • MSTASK32.EXE

    ・さらに、次のワームの圧縮ファイルを落とし込みます。

    • TASKMGR32.DLL (45,802バイト)
      注:ファイルの拡張子はDLLですが、実際にはZIPアーカイブです。

    ・以下のような2つのレジストリキーを追加して、システムの起動をフックします。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      "MicrosoftServiceManager" = C:\WINDOWS\SYSTEM\mstask32.exe
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
      "MicrosoftServiceManager" = C:\WINDOWS\SYSTEM\mstask32.exe

    ・以下のレジストリキーを改変して、EXEファイルの実行もフックします。

    • HKEY_CLASSES_ROOT\exefile\shell\open\command "(Default)"
      ("%1" %*"から"C:\WINDOWS\SYSTEM\exeLoader.exe""%1"%*"へ改変します。)

    ・上記のエンジンおよび定義ファイルを使用すると、これらの改変されたレジストリキーは削除されます。

    ・以下のレジストリキーも追加します。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Snakes
      "Author" = R0xx
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Snakes
      "Comments" = This system belongs to the great Indians...
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Snakes
      "Version" = 2
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Snakes
      "Web" = http://www.indiansnakes.cjb.net

    ・定義ファイル4240および上記のエンジンを使用すると、これらのレジストリキーは削除されます。

    ・これまでに発見されたW32/Yahaの亜種と同様に、以下の特定のリモートサーバに対してサービス拒否攻撃を仕掛けます。

    • kse.com.pk
    • comsats.com
    • pcb.gov.pk
    • paki.com
    • pakistan.gov.pk

    ・ターゲットマシンに感染する時に、上記のサーバの1つがサービス拒否攻撃のターゲットに指定され、以下のようにレジストリに格納されます。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZoneCheck
      "(Default)" = comsats.com

    ・定義ファイル4240および上記のエンジンを使用すると、このキーは削除されます。

    ・ターゲットマシンで以下のプロセスが実行中の場合は、終了させます。

    • _AVP32
    • _AVPCC
    • _AVPM
    • ACKWIN32
    • ALERTSVC
    • AMON.EXE
    • ANTI-TROJAN
    • ANTIVIR
    • APVXDWIN
    • ATRACK
    • AUTODOWN
    • AVCONSOL
    • AVGCTRL
    • AVKSERV
    • AVNT
    • AVP.EXE
    • AVP32
    • AVPCC.EXE
    • AVPM.EXE
    • AVSCHED32
    • AVSYNMGR
    • AVWUPD32
    • BLACKD
    • BLACKICE
    • CFIADMIN
    • CFIAUDIT
    • CFINET
    • CFINET32
    • CLEANER
    • ECENGINE
    • ESAFE.EXE
    • ESPWATCH
    • F-AGNT95
    • F-PROT95
    • F-STOPW
    • FINDVIRU
    • FP-WIN
    • FRW.EXE
    • IAMAPP
    • IAMSERV.EXE
    • IBMASN
    • IBMAVSP
    • ICMON
    • IOMON98
    • LOCKDOWN2000
    • LOCKDOWNADVANCED
    • LUALL
    • LUCOMSERVER
    • MCAFEE
    • MOOLIVE
    • MPFTRAY
    • MSNMSG32REGEDIT
    • N32SCANW
    • NAV
    • NAV32_LOADER
    • NAVAPSVC
    • NAVAPW32
    • NAVLU32
    • NAVNT
    • NAVRUNR
    • NAVW32
    • NAVWNT
    • NISSERV
    • NISUM
    • NMAIN
    • NOD32
    • NORTON
    • NPSSVC
    • NRESQ32
    • NSCHED32
    • NSCHEDNT
    • NSPLUGIN
    • NUPGRADE
    • NVC95
    • PADMIN
    • PAVSCHED
    • PCCIOMON
    • PCCMAIN
    • PCCWIN98
    • PCFWALLICON
    • PERSFW
    • POP3TRAP
    • PVIEW
    • PVIEW95
    • RAV7
    • REGEDIT
    • RESCUE32
    • RMVTRJANSAFEWEB
    • SCAM32
    • SCAN32
    • SIRC32
    • SMC
    • SPHINX
    • SWEEP95
    • SYMPROXYSVC
    • SYSHELP.EXE
    • TBSCAN
    • TCPSVS32
    • TDS2-
    • TDS2-98
    • TDS2-NT
    • VET95
    • VETTRAY
    • VSECOMR
    • VSHWIN32
    • VSSTAT
    • WEBSCANX
    • WEBTRAP
    • WFINDV32
    • WINGATE.EXE
    • WINK
    • WINMGM32.EXE
    • WINSERVICES
    • ZONEALARM

    ・このワームは、これまでに発見されたW32/Yahaの亜種と同様に以下のファイル名を内蔵しています。しかしテストではこれまでの亜種とは異なり、ターゲットシステムにこれらのファイル名で自身をコピーしませんでした(Windows 9x、Windows NT、およびWindows 2000でテスト済み)。

    • Be_Happy.scr
    • Best_Friend.scr
    • Friend_Finder.exe
    • Friend_Happy.scr
    • GC_Messenger.exe
    • I_Like_You.scr
    • Sweet.scr
    • True_Love.scr
    • colour_of_life.scr
    • dance.scr
    • friendship.scr
    • friendship_funny.scr
    • funny.scr
    • hotmail_hack.exe
    • life.scr
    • love.scr
    • shake.scr
    • world_of_friendship.scr

    感染方法TOPへ戻る

    ・このウイルスが実行されると、ターゲットマシンに自身をインストールし、(ウイルス対策、セキュリティ製品関連の)さまざまなプロセスを終了させます。

    ・大量メール送信、およびネットワーク共有に自身のコピーを作成して繁殖します(ただしこの情報掲載時点では、大量メール送信は実行しませんでした)。