製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
W32/Zezer.worm.gen
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4296
対応定義ファイル
(現在必要とされるバージョン)
4371 (現在7508)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Zezer (AVP):W32/Dozer
情報掲載日03/10/01
発見日(米国日付)03/09/30
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/22RDN/Generic....
07/22RDN/Generic....
07/22Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7508
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Zezer.worm.genはMSN Messengerのコンタクトリストを介して電子メールアドレスを収集し、以下のような電子メールメッセージで届きます。

宛先: (hotmailユーザアカウントがターゲットになります)
送信者: (以下のいずれか)

  • winpatch@microsoft.com
  • services@microsoft.com
  • msnsupport@microsoft.com
  • helpdesk@microsoft.com
  • security@microsoft.com
  • windowsupdate@microsoft.com

件名: Windows Update(MSN Messenger Update 6 の脆弱性)

本文: Attention All Microsoft Users: A patch has been issued to correct a vulnerability in MSN Messenger which can be performed by a malicious user in order to gain unauthorized access to compromised computers. Windows users who have MSN Messenger 4.x and higher versions are affected by this vulnerability and must download and install the patch labeled Msn_inst.exe, which is attached to this email message. For any support regarding this patch please contact support@microsoft.com for more information.

添付ファイル: Msn_inst.exe

・添付ファイルが実行されると、以下の偽のエラーメッセージを表示します。

・ローカルシステム上の複数のロケーションに自身をコピーします。

  • %StartUp folder%\msnexec.exe
  • %WinDir%\Mscsgs.exe
  • %WinDir%\Msn_inst.exe
  • %WinDir%\Msn_updt.exe
  • %SysDir%\Mscsgs32.exe

・起動時にウイルスが読み込まれるように、以下のレジストリ実行キーが作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Mscsgs" = C:\WINDOWS\Mscsgs.exe

・以下のレジストリキーも作成されます。

  • HKEY_CURRENT_USER\Software\Zed\Dozer
    "Dozer" = W32/Dozer by Zed

・MSNContactという名前のサブキーは、Dozerキーの下に作成されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・W32/Zezer.worm.genには2つの発病ルーチンがあります。

・1つは以下のレジストリキーを作成するためのレジストリ編集ツールを無効にします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\System "DisableRegistryTools" = 1

・もう1つは以下のプロセス名を含むセキュリティソフトウェアを終了します。

  • AVP32.EXE
  • AVPCC.EXE
  • AVPM.EXE
  • ACKWIN32.EXE
  • ANTI-TROJAN.EXE
  • APVXDWIN.EXE
  • AUTODOWN.EXE
  • AVCONSOL.EXE
  • AVE32.EXE
  • AVGCTRL.EXE
  • AVKSERV.EXE
  • AVNT.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPDOS32.EXE
  • AVPM.EXE
  • AVPMON.EXE
  • AVPNT.EXE
  • AVPTC32.EXE
  • AVPUPD.EXE
  • AVSCHED32.EXE
  • AVWIN95.EXE
  • AVWUPD32.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • CCAPP.EXE
  • CFIADMIN.EXE
  • ESAFE.EXE
  • CFIAUDIT.EXE
  • CFIND.EXE
  • CFINET.EXE
  • CFINET32.EXE
  • CLAW95.EXE
  • CLAW95CF.EXE
  • CLAW95CT.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • DV95.EXE
  • DV95_0.EXE
  • DVP95.EXE
  • ECENGINE.EXE
  • EFINET32.EXE
  • ESPWATCH.EXE
  • F-AGNT95.EXE
  • FINDVIRU.EXE
  • FPROT.EXE
  • F-PROT.EXE
  • FPROT95.EXE
  • F-PROT95.EXE
  • F-STOPW.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • IBMASN.EXE
  • IBMAVSP.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICMOON.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFACE.EXE
  • IOMON98.EXE
  • JEDI.EXE
  • KPFW32.EXE
  • LOCKDOWN2000.EXE
  • LOOKOUT.EXE
  • LUALL.EXE
  • MOOLIVE.EXE
  • MPFTRAY.EXE
  • N32SCAN.EXE
  • N32SCANW.EXE
  • NAVAPW32.EXE
  • NAVLU32.EXE
  • NAVNT.EXE
  • NAVSCHED.EXE
  • NAVW.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORMIST.EXE
  • NUPGRADE.EXE
  • NVC95.EXE
  • OUTPOST.EXE
  • PADMIN.EXE
  • PAVCL.EXE
  • PAVSCHED.EXE
  • PAVW.EXE
  • PCCWIN98.EXE
  • PCFWALLICON.EXE
  • PERSFW.EXE
  • RAV7.EXE
  • RAV7WIN.EXE
  • RESCUE.EXE
  • SAFEWEB.EXE
  • SCAN32.EXE
  • SCAN95.EXE
  • SCANPM.EXE
  • SCRSCAN.EXE
  • SERV95.EXE
  • SPHINX.EXE
  • SWEEP95.EXE
  • TBSCAN.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • VCONTROL.EXE
  • VET32.EXE
  • VET95.EXE
  • VET98.EXE
  • VETTRAY.EXE
  • VSCAN40.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSSCAN40.EXE
  • VSSTAT.EXE
  • WEBSCAN.EXE
  • WEBSCANX.EXE
  • WFINDV32.EXE
  • ZAPRO.EXE
  • ZONEALARM.EXE

感染方法TOPへ戻る
・W32/Zezer.worm.genは電子メールを介して、MSN MessengerのAPI 呼び出しをフックすることで、主にhotmailユーザアカウントへ繁殖します。また、W32/Zezer.worm.genはキャッシュされたパスワードを詐取して、netdozer@hotmail.comへ電子メールで送信します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足