ウイルス情報

ウイルス名 危険度

W32/Yodo.a@MM

企業ユーザ: 低
個人ユーザ: 低
種別 インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4289
対応定義ファイル
(現在必要とされるバージョン)
4311 (現在7633)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Yodo@mm (Symantec)
情報掲載日 03/09/05
発見日(米国日付) 03/08/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Yodo.a@MMは電子メールワームで、MSVBで作成されています。

電子メールを介した繁殖

・W32/Yodo.a@MMは自身のSMTPエンジンを使用して、感染したマシンから自身を送信します。以下の拡張子を持つファイルの中にある電子メールアドレスを検索します。

  • txt
  • htm
  • csv
  • doc
  • rtf
  • php
  • html

・以下のような電子メールメッセージを送信します。

件名:
Fun game!
本文:
Please see the attachment! I scanned it for viruses before I sent it out. it's a really cool game!
Scanned with Norton Anti-Virus

添付ファイル:
flash-game.exe

インストール

・ターゲットマシンに以下のファイル名で自身をインストールします。

  • C:\shost.exe
  • C:\flash-game.exe

・C:ドライブのルートにMSWINSCK.OCXという名前の無害なファイル(109,248バイト)を落とし込みます。

・以下のレジストリキーを設定して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrentVersion\Run\
    "hellodolly" = shost.exe

・毎年9月14日の午後1:00(システム時刻)に、以下のダイアログボックスを表示します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとレジストリキーが存在します。

TOPへ戻る

感染方法

・以下の拡張子を持つファイルの中にある宛先に、(自身のSMTPエンジンを使用して)自身を電子メールで送信することで繁殖します。
  • txt
  • htm
  • csv
  • doc
  • rtf
  • php
  • html

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る