製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
W32/Zafi.c@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4401
対応定義ファイル
(現在必要とされるバージョン)
4401 (現在7593)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2004/10/28
発見日(米国日付)2004/10/27
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/20RDN/Generic....
10/20FakeAV-M.bfr...
10/20FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Zafi.c@MMの特徴はW32/Zafi.b@MMなどのこれまでの亜種とほぼ同じです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • メッセージの差出人のアドレスを偽装します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • 電子メールメッセージにはハンガリー語または英語のメッセージが含まれています。
  • 2004年に有名になった他のウイルスに関する悪口が書かれています。

・このウイルス情報の作成時には、AVERTはW32/Zafi.C@MMのサンプルを1つしか受け取っていませんでした。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 以下のような電子メールメッセージが存在します。
  • 以下のようなレジストリキーおよびファイルシステムの改変が行われています。
インストール

・W32/Zafi.c@MMはWindowsのシステムディレクトリ(%SysDir%)に自身のコピーをドロップ(作成)します。

  • c:\WINNT\system32\svchost.com
  • c:\WINNT\system32\svchost.con

・以下のレジストリキーを追加して、システム起動時にフックします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "_svchost.con" = %SysDir%\svchost.com

・W32/Zafi.c@MMは以下のさまざまなデータが格納されたレジストリキーを作成します(収集した電子メールアドレスを格納した、作成されたローカルファイルのファイルパスなど)。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\UpdateZ3

感染方法TOPへ戻る
電子メールを介した繁殖

・W32/Zafi.c@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。ターゲットマシンの以下の拡張子を持つファイルから、ターゲットになる電子メールアドレスを収集します。

  • htm
  • wab
  • txt
  • dbx
  • tbb
  • asp
  • php
  • sht
  • adb
  • mbx
  • eml
  • pmr

・収集した電子メールアドレスは%SysDir%の「SVCHOST.COn」ファイルに格納されます(nは数字)。これらのファイルは上記のデータキーで参照されます。

・W32/Zafi.c@MMは以下の文字列を含むアドレスには電子メールを送信しません。

  • info
  • help
  • aol
  • webm
  • micro
  • msn
  • hotmail.co
  • suppor
  • syma
  • vir
  • trend
  • panda
  • hoo.com
  • cafee
  • sopho
  • google
  • kasper

・さまざまな件名、本文および添付ファイル名を使用して、送信するメッセージを作成します。

P2Pを介した繁殖

・W32/Zafi.c@MMは、「DOOM33 KEYGEN.EXE」というファイル名を使用して、以下の文字列を含むローカルディレクトリに自身の複数のコピーを作成します。

  • share
  • upload
  • downlo
例:
  • c:\Program Files\Common Files\Microsoft Shared\doom3 keygen.exe
  • c:\WINNT\Downloaded Program Files\doom3 keygen.exe
プロセスの終了

・感染マシンの手動による特定および駆除を阻止するため、W32/Zafi.c@MMは以下の文字列を含むプロセスを終了します。

  • reged
  • msconfig
  • task

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足