ウイルス情報

ウイルス名 危険度

W32/Zafi.b@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4366
対応定義ファイル
(現在必要とされるバージョン)
4367 (現在7628)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Zafi.b (Kaspersky)
PE_ZAFI.B (Trend)
W32.Erkez.B@mm (Symantec)
Win32.Hazafi.30720 (Dialogue Science)
情報掲載日 04/06/14
発見日(米国日付) 04/06/11
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2004年8月16日更新情報
感染報告が減少しているため、危険度を「低[要注意]」に引き下げました。

2004年6月14日更新情報
感染報告が増加しているため、危険度を「中」に引き上げました。


・W32/Zafi.b@MMは大量メール送信型ワームで、自身のSMTPエンジンを使用してメッセージを作成し、差出人のアドレスを擬装します。また、ローカルシステム上のフォルダ(フォルダ名に「share」または「upload」を含む)に自身をコピーして、P2Pにより繁殖します。

電子メールを介した繁殖

・W32/Zafi.b@MMは自身のSMTPエンジンを使用して、差出人を偽装したメッセージを作成します。

・W32/Zafi.b@MMはローカルハードディスク上のメールアドレスを検索し、以下の拡張子を含むアドレスを収集します。

  • htm
  • wab
  • txt
  • dbx
  • tbb
  • asp
  • php
  • sht
  • adb
  • mbx
  • eml
  • pmr
・収集されたメールアドレスは、「system32」フォルダ内の5つのファイルに、ランダムな名前と.DLLの拡張子をつけて保存します。
例:
C:\WINNT\system32\kenbdplk.dll
C:\WINNT\system32\zibscdes.dll
C:\WINNT\system32\qfafsxoz.dll
C:\WINNT\system32\zhzukrhp.dll
C:\WINNT\system32\sdxsuwxt.dll

・W32/Zafi.b@MMによって作成される以下のキーに上記のファイルへのリファレンスが保存されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb

・W32/Zafi.b@MMは以下の文字列を含むアドレスへは自身を送信しません。

  • admi cafee
  • google
  • help
  • hotm
  • info
  • kasper
  • micro
  • msn
  • panda
  • sopho
  • suppor
  • syma
  • trend
  • use
  • vir
  • webm
  • win
  • yaho

・W32/Zafi.b@MMはさまざまな言語で自身を送信します。以下はその一例です。電子メールの差出人のアドレスが偽装され、ウイルス本体では、さまざまな文字列を使用して、使用するメールサーバが連結されます。(例:fmx1.domain.hu)

差出人:anita
件名:Ingyen SMS!
添付ファイル:"regiszt.php?3124freesms.index777.pif"
本文:
------------------------ hirdet=E9s ----------------------------- A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni. K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki! ------------------------ axelero.hu ---------------------------

差出人:claudia
件名:Importante!
添付ファイル:"link.informacion.phpV23.text.message.pif"
本文:
Informacion importante que debes conocer, -

差出人:katya
件名:Katya
添付ファイル:"view.link.index.image.phpV23.sexHdg21.pif"

差出人:eva
件名:E-Kort!
添付ファイル:"link.ekort.index.phpV7ab4.kort.pif"
本文:
Mit hjerte banker for dig!

差出人:marica
件名:Ecard!
添付ファイル:"link.showcard.index.phpAv23.ritm.pif"
本文:
De cand te-am cunoscut inima mea are un nou ritm!

差出人:anna
件名:E-vykort!
添付ファイル:"link.vykort.showcard.index.phpBn23.pif"
本文:
Till min Alskade...

差出人:erica
件名:E-Postkort!
添付ファイル:"link.postkort.showcard.index.phpAe67.pif"
本文:
Vakre roser jeg sammenligner med deg...

差出人:katarina
件名:E-postikorti!
添付ファイル:"link.postikorti.showcard.index.phpGz42.pif"
本文:
Iloista kesaa!

差出人:magdolina
件名:Atviruka!
添付ファイル:"link.atviruka.showcard.index.phpGz42.pif"
本文:
Linksmo gimtadieno! ha

差出人:beate
件名:E-Kartki!
添付ファイル:"link.kartki.showcard.index.phpVg42.pif"
本文:
W Dniu imienin...

差出人:
件名:Cartoe Virtuais!
添付ファイル:"link.cartoe.viewcard.index.phpYj39.pif"
本文:
Content: Te amo... ,

差出人:alice
件名:Flashcard fuer Dich!
添付ファイル:"link.flashcard.de.viewcard34.php.2672aB.pif"
本文:
Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34 Viel Spass beim Lesen wuenscht Ihnen ihr...

差出人:eva
件名:Er staat een eCard voor u klaar!
添付ファイル:"postkaarten.nl.link.viewcard.index.phpG4a62.pif"
本文:
Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link: http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De redactie taalsite primair onderwijs...

差出人:hanka
件名:Elektronicka pohlednice!
添付ファイル:"link.seznam.cz.pohlednice.index.php2Avf3.pif"
本文:
Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz -

差出人:claudine
件名:E-carte!
添付ファイル:"link.zdnet.fr.ecarte.index.php34b31.pif"
本文:
vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez, l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42 www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5 minutes, du dialogue en direct...

差出人:francesca
件名:Ti e stata inviata una Cartolina Virtuale!
添付ファイル:"link.cartoline.it.viewcard.index.4g345a.pif"
本文:
Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente.

差出人:jennifer
件名:You`ve got 1 VoiceMessage!
添付ファイル:"link.voicemessage.com.listen.index.php1Ab2c.pif"
本文:
Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can listen your Virtual VoiceMessage at the following link: http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link. Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team (R).

差出人:anita
件名:Tessek mosolyogni!!!
添付ファイル:"meztelen csajok fociznak.flash.jpg.pif"
本文:
Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:

差出人:anita
件名:Soxor Csok!
添付ファイル:"anita.image043.jpg.pif"
本文:
Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l, addig is cs=F3k: )l@

差出人:jennifer
件名:Don`t worry, be happy!
添付ファイル:"www.ecard.com.funny.picture.index.nude.php356.pif"
本文:
Hi Honey! I`m in hurry, but i still love ya... (as you can see on the picture) Bye - Bye:

差出人:david
件名:Check this out kid!!!
添付ファイル:"jennifer the wild girl xxx07.jpg.pif"
本文:
Send me back bro, when you`ll be done...(if you know what i mean...) See ya,

ピアツーピア感染

・W32/Zafi.b@MMはCドライブ上の以下の文字列を含むディレクトリに自身をコピーします。

  • share
  • upload
・W32/Zafi.b@MMのコピーのファイル名は以下です。
  • Total Commander 7.0 full_install.exe
  • winamp 7.0 full_install.exe

ファイルの上書き

・W32/Zafi.b@MMはウイルス対策およびパーソナルファイアウォールソフトウェアのディレクトリを検索し、実行ファイルを自身のコピーで上書きします。

プロセスの終了

・W32/Zafi.b@MMは、ユーザのマニュアルによる感染マシンの特定、削除の妨害をし、以下の文字列を含むプロセスの終了を試みます。

  • regedit
  • msconfig
  • task

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

インストール

・実行時、W32/Zafi.b@MMは、ランダムな名前と.EXE、.DLLの拡張子を使用して、%windir%\system32フォルダに自身を2回コピーします。

例:
  C:\WINNT\system32\jrbtgmqi.exe
  C:\WINNT\system32\enfrbatm.dll

・マシンが起動するたびにファイルが実行されるよう、以下のレジストリキーを作成します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "_Hazafibb" = %windir%\System32\jrbtgmqi.exe
そのほかの感染症状
  • セキュリティソフトウェアが正常に機能しません。
  • ネットワークトラフィックが発生します。
  • システムの速度が低下します。

TOPへ戻る

感染方法

・W32/Zafi.b@MMは、電子メールの添付ファイルを自動的に実行するためのセキュリティホールを突いたコードを使用しません。マシンに感染するには、ユーザが感染した添付ファイルまたはP2Pで共有しているファイルをダブルクリックする必要があります。

・ワームがウイルス対策およびファイアウォールソフトウェアに関連するバイナリを上書きしているマシンでは、ユーザーが誤ってワームを実行する可能性が高くなります。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

このウイルスには、4366定義ファイルで対応いたします。4366定義ファイルは04/06/17に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがW32/Zafi.b@MMに対応しています。ダウンロードはこちら

TOPへ戻る