ウイルス情報

ウイルス名 危険度

W32/Yaha@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4187
対応定義ファイル
(現在必要とされるバージョン)
4187 (現在7652)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
亜種 W32/Yaha.b@MM
情報掲載日 02/02/21
発見日(米国日付) 02/02/15
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • W32/Yaha@MMは、バレンタインデーを祝うスクリーン セーバのように見せかけたメール大量送信型ウイルスです。
  • のウイルスは、スクリーン セーバのメーリング リストに登録している人が意図的に転送したかのように見せかけたメッセージで配信されます。

  • 次のレジストリ キーから、SMTPメール サーバの'From address'と'Display name'が抽出されます。

    HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT_MANAGER\ACCOUNTS\00000001

  • 表示名は、メッセージの本文に署名するときに使用されます(上記の画像でハイライトされている部分)。
  • このキーにデフォルトのSMTPサーバが含まれていない場合、このウイルスは本文に含まれているアドレスからサーバにアクセスします。
  • このウイルスが起動すると、自身を次のファイルにコピーして、ローカル マシンに感染します。どちらのファイルも、属性は隠しファイルです。

    C:\RECYCLED\MSSCRA.EXE
    C:\RECYCLED\MSMDM.EXE

  • どちらかのEXEファイルが次に実行されたときにウイルスが起動するように、次のレジストリ キーが改変されます。

    HKEY_CLASSES_ROOT\exefile\shell\open\command "(Default)" = "c:\recycled\msmdm.exe" %1 %*

  • 現行ユーザの一時インターネット ファイルから、配信先の電子メール アドレスが抽出されます(抽出されたアドレスの一覧は、%WINDIR%\SCREEND.DLLに書き込まれます)。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

- 次のファイルが存在する(どちらの属性も、隠しファイル)。

C:\RECYCLED\MSMDM.EXE
C:\RECYCLED\MSSCRA.EXE


亜種情報

W32/Yaha.b@MMという新しい亜種が見つかりました。これに対して定義ファイル4192で対応しました。

名称種別主な発病相違点
W32/Yaha.b@MMウイルス大量メール送信検出に定義ファイル4192以上が必要です。
  1. ファイルサイズ:23,320バイト
  2. 以下のように自身をコピーします。(隠蔽工作)
    • C:\RECYCLED\NTNLF.EXE
    • C:\RECYCLED\NTNLFF.EXE
  3. e-mailアドレスをインターネット一時ファイルから搾取し、下記に書き込みます。

    C:\WINDOWS\NTNLFNTNLF.DLL

  4. 送信メールのフォーマットは以下のようです。
    件名:Enjoy this friendship-joke Screen Saver!!!!
    差出人:'Friendship' (SMTP: freescreensaver@friendship.com)
    添付ファイル:FRIENDS.SCR (23,320 bytes)

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

TOPへ戻る