ウイルス情報

ウイルス名 危険度

W32/Zafi.c@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4401
対応定義ファイル
(現在必要とされるバージョン)
4401 (現在7633)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2004/10/28
発見日(米国日付) 2004/10/27
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Zafi.c@MMの特徴はW32/Zafi.b@MMなどのこれまでの亜種とほぼ同じです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • メッセージの差出人のアドレスを偽装します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • 電子メールメッセージにはハンガリー語または英語のメッセージが含まれています。
  • 2004年に有名になった他のウイルスに関する悪口が書かれています。

・このウイルス情報の作成時には、AVERTはW32/Zafi.C@MMのサンプルを1つしか受け取っていませんでした。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 以下のような電子メールメッセージが存在します。
  • 以下のようなレジストリキーおよびファイルシステムの改変が行われています。
インストール

・W32/Zafi.c@MMはWindowsのシステムディレクトリ(%SysDir%)に自身のコピーをドロップ(作成)します。

  • c:\WINNT\system32\svchost.com
  • c:\WINNT\system32\svchost.con

・以下のレジストリキーを追加して、システム起動時にフックします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "_svchost.con" = %SysDir%\svchost.com

・W32/Zafi.c@MMは以下のさまざまなデータが格納されたレジストリキーを作成します(収集した電子メールアドレスを格納した、作成されたローカルファイルのファイルパスなど)。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\UpdateZ3

TOPへ戻る

感染方法

電子メールを介した繁殖

・W32/Zafi.c@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。ターゲットマシンの以下の拡張子を持つファイルから、ターゲットになる電子メールアドレスを収集します。

  • htm
  • wab
  • txt
  • dbx
  • tbb
  • asp
  • php
  • sht
  • adb
  • mbx
  • eml
  • pmr

・収集した電子メールアドレスは%SysDir%の「SVCHOST.COn」ファイルに格納されます(nは数字)。これらのファイルは上記のデータキーで参照されます。

・W32/Zafi.c@MMは以下の文字列を含むアドレスには電子メールを送信しません。

  • info
  • help
  • aol
  • webm
  • micro
  • msn
  • hotmail.co
  • suppor
  • syma
  • vir
  • trend
  • panda
  • hoo.com
  • cafee
  • sopho
  • google
  • kasper

・さまざまな件名、本文および添付ファイル名を使用して、送信するメッセージを作成します。

P2Pを介した繁殖

・W32/Zafi.c@MMは、「DOOM33 KEYGEN.EXE」というファイル名を使用して、以下の文字列を含むローカルディレクトリに自身の複数のコピーを作成します。

  • share
  • upload
  • downlo
例:
  • c:\Program Files\Common Files\Microsoft Shared\doom3 keygen.exe
  • c:\WINNT\Downloaded Program Files\doom3 keygen.exe
プロセスの終了

・感染マシンの手動による特定および駆除を阻止するため、W32/Zafi.c@MMは以下の文字列を含むプロセスを終了します。

  • reged
  • msconfig
  • task

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る