ウイルス情報

ウイルス名 危険度

W32/Yaha.y@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4293
対応定義ファイル
(現在必要とされるバージョン)
4309 (現在7628)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/09/18
発見日(米国日付) 03/09/17
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Yaha.y@MMはASPackで圧縮され、MSVCで作成されています。

・W32/Yaha.y@MMは、電子メールとネットワーク共有で繁殖します。内蔵するSMTPエンジンを使用して、電子メールメッセージを作成します。特定のプロセス(ウイルス対策、セキュリティ関連)が実行中の場合は終了させます。リモートマシン(さまざまなターゲットがワームにハードコード化されています)に対してサービス拒否攻撃を仕掛けるコードを含んでいます。

インストール

・W32/Yaha.y@MMが実行されると、%Sysdir%ディレクトリに以下のファイル名で自身をインストールします。

  • MSEXEC.EXE
  • MSUPDAT.EXE
  • TASKMGR32.DLL
    (%Windir%は、Windowsディレクトリです。例えば、C:\WINDOWSです。)
    (%Sysdir%は、Windows Systemディレクトリです。例えば、C:\WINDOWS\SYSTEMです。)

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "MicrosoftServiceManager " = "C:\%sysdir%\msupdat.exe"

・以下のレジストリキーを改変して、.EXEファイル、.BATファイル、および.COMファイルが実行されるたびに自身を実行します。

  • HKEY_CLASSES_ROOT\exefile\shell\open\command "Default " = "%Sysdir%\ MSEXEC.EXE""%1"%*"
  • HKEY_CLASSES_ROOT\batfile\shell\open\command "Default " = "%Sysdir%\ MSEXEC.EXE""%1"%*"
  • HKEY_CLASSES_ROOT\comfile\shell\open\command "Default " = "%Sysdir%\ MSEXEC.EXE""%1"%*"
  • ・リモート共有にある特定のフォルダ(ワームにハードコード化されています)でWIN.INIファイルを検索します(テストでは、マップ済みのネットワークドライブのみを検索しました)。WIN.INIファイルが存在する場合は、該当するフォルダにREG32.EXEというファイル名で自身をコピーして、WIN.INIファイルに以下のフックを追加します。

    • [windows]
      run=REGP32.EXE

    ・以下のロケーションを検索します。

    • \WINDOWS\WIN.INI
    • \WIN98\WIN.INI
    • \WIN95\WIN.INI
    • \WINNT\WIN.INI
    • \WIN\WIN.INI
    • \WINME\WIN.INI
    • \WINXP\WIN.INI

    大量メール送信

    ・W32/Yaha.y@MMは自身のSMTPエンジンを使用して、感染システムから電子メールメッセージを送信します。

    W32/Yaha.x@MMで説明したのと同様の方法で、電子メールメッセージを作成します。

    ・WindowsフォルダのHOSTSファイルとLMHOSTSファイルを改変して、ユーザが以下のWebサイトにアクセスできないようにします。

    • www.symantec.com
    • www.kaspersky.com
    • www.mcafee.com
    • www.microsoft.com
    • www.mcafee.com
    • www.sophos.com
    • www.avp.ru

    サービス拒否攻撃

    ・W32/Yaha.y@MMは、以下のサイトに対してサービス拒否攻撃を仕掛けます。

    • jamaat.org
    • klc.org.pk
    • pak.gov.pk
    • piac.com.pk
    • ummah.org.uk

    TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとレジストリキーが存在します。

TOPへ戻る

感染方法

・W32/Yaha.y@MMが実行されると、ターゲットマシンに自身をインストールします。さまざまなプロセス(ウイルス対策、セキュリティ製品関連)を終了させます。

・自身をネットワーク共有にコピーします。

・この情報掲載時点のテストでは大量メール送信ルーチンを実行しませんでしたが、ワームの文字列を見ると、以下で発見されるすべての電子メールアドレスに自身を送信するようです。

  • Windows Address Book
  • MSN Messenger
  • .NET Messenger
  • Yahoo Pager
  • Files matching *.HT*

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る