製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
W32/Yaha.y@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4293
対応定義ファイル
(現在必要とされるバージョン)
4309 (現在7401)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/09/18
発見日(米国日付)03/09/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Yaha.y@MMはASPackで圧縮され、MSVCで作成されています。

・W32/Yaha.y@MMは、電子メールとネットワーク共有で繁殖します。内蔵するSMTPエンジンを使用して、電子メールメッセージを作成します。特定のプロセス(ウイルス対策、セキュリティ関連)が実行中の場合は終了させます。リモートマシン(さまざまなターゲットがワームにハードコード化されています)に対してサービス拒否攻撃を仕掛けるコードを含んでいます。

インストール

・W32/Yaha.y@MMが実行されると、%Sysdir%ディレクトリに以下のファイル名で自身をインストールします。

  • MSEXEC.EXE
  • MSUPDAT.EXE
  • TASKMGR32.DLL
    (%Windir%は、Windowsディレクトリです。例えば、C:\WINDOWSです。)
    (%Sysdir%は、Windows Systemディレクトリです。例えば、C:\WINDOWS\SYSTEMです。)

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "MicrosoftServiceManager " = "C:\%sysdir%\msupdat.exe"

・以下のレジストリキーを改変して、.EXEファイル、.BATファイル、および.COMファイルが実行されるたびに自身を実行します。

  • HKEY_CLASSES_ROOT\exefile\shell\open\command "Default " = "%Sysdir%\ MSEXEC.EXE""%1"%*"
  • HKEY_CLASSES_ROOT\batfile\shell\open\command "Default " = "%Sysdir%\ MSEXEC.EXE""%1"%*"
  • HKEY_CLASSES_ROOT\comfile\shell\open\command "Default " = "%Sysdir%\ MSEXEC.EXE""%1"%*"
  • ・リモート共有にある特定のフォルダ(ワームにハードコード化されています)でWIN.INIファイルを検索します(テストでは、マップ済みのネットワークドライブのみを検索しました)。WIN.INIファイルが存在する場合は、該当するフォルダにREG32.EXEというファイル名で自身をコピーして、WIN.INIファイルに以下のフックを追加します。

    • [windows]
      run=REGP32.EXE

    ・以下のロケーションを検索します。

    • \WINDOWS\WIN.INI
    • \WIN98\WIN.INI
    • \WIN95\WIN.INI
    • \WINNT\WIN.INI
    • \WIN\WIN.INI
    • \WINME\WIN.INI
    • \WINXP\WIN.INI

    大量メール送信

    ・W32/Yaha.y@MMは自身のSMTPエンジンを使用して、感染システムから電子メールメッセージを送信します。

    W32/Yaha.x@MMで説明したのと同様の方法で、電子メールメッセージを作成します。

    ・WindowsフォルダのHOSTSファイルとLMHOSTSファイルを改変して、ユーザが以下のWebサイトにアクセスできないようにします。

    • www.symantec.com
    • www.kaspersky.com
    • www.mcafee.com
    • www.microsoft.com
    • www.mcafee.com
    • www.sophos.com
    • www.avp.ru

    サービス拒否攻撃

    ・W32/Yaha.y@MMは、以下のサイトに対してサービス拒否攻撃を仕掛けます。

    • jamaat.org
    • klc.org.pk
    • pak.gov.pk
    • piac.com.pk
    • ummah.org.uk

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルとレジストリキーが存在します。

感染方法TOPへ戻る
・W32/Yaha.y@MMが実行されると、ターゲットマシンに自身をインストールします。さまざまなプロセス(ウイルス対策、セキュリティ製品関連)を終了させます。

・自身をネットワーク共有にコピーします。

・この情報掲載時点のテストでは大量メール送信ルーチンを実行しませんでしたが、ワームの文字列を見ると、以下で発見されるすべての電子メールアドレスに自身を送信するようです。

  • Windows Address Book
  • MSN Messenger
  • .NET Messenger
  • Yahoo Pager
  • Files matching *.HT*

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足