製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
W32/Zafi.d@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4414
対応定義ファイル
(現在必要とされるバージョン)
4414 (現在7544)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名Email-Worm.Win32.Zafi.d (AVP) Nocard.A@mm (Norman) W32.Erkez.D@mm (Symantec) W32/Zafi-D (Sophos) WORM_ZAFI.D (Trend)
情報掲載日2004/12/15
発見日(米国日付)2004/12/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
-- 2004年12月14日更新 --

・感染が拡大したため、W32/Zafi.d@MMの危険度を[中]に変更しました。W32/Zafi.d@MMに対応するウイルス定義ファイル4414がすでにリリースされています。


・W32/Zafi.d@MMの特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • メッセージの差出人のアドレスを偽装します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • 送信メッセージの本文はハンガリー語、英語のいずれかです。
  • P2Pワームと同じような動作をします。
  • セキュリティサービスを停止します。
電子メールを介した繁殖

・W32/Zafi.d@MMは拡張子がZIP、CMD、PIF、BAT、COMのいずれかの添付ファイルとして自身を送信します。

・W32/Zafi.d@MMは以下の拡張子を持つファイルから電子メールアドレスを収集します。

  • htm
  • wab
  • txt
  • dbx
  • tbb
  • asp
  • php
  • sht
  • adb
  • mbx
  • eml
  • pmr
  • fpt
  • inb

・収集したアドレスは、ランダムな名前とファイル拡張子、.DLLを使用して、System32フォルダの5つのファイルに格納されます。

  • c:\WINDOWS\SYSTEM\ckolieqt.dll
  • c:\WINDOWS\SYSTEM\fktnxowp.dll
  • c:\WINDOWS\SYSTEM\gczomkgr.dll
  • c:\WINDOWS\SYSTEM\hgtmrsvo.dll

・ただし、以下の文字列を含むアドレスには自身を送信しません。

  • yaho
  • google
  • win
  • use
  • info
  • help
  • admi
  • webm
  • micro
  • msn
  • hotm
  • suppor
  • syman
  • viru
  • trend
  • secur
  • panda
  • cafee
  • sopho
  • kasper

・W32/Zafi.d@MMが送信する電子メールの本文はクリスマスカードの形式になっています。これまでの亜種と同様、W32/Zafi.d@MMは、受信者のアドレスのトップレベルドメイン(TLD)によって、さまざまな言語で自身を送信します。たとえば、メールアドレスが.COMのユーザは英語のメッセージを受け取り、.DEのユーザはドイツ語のメッセージを受け取ることになります。

・W32/Zafi.d@MMが送信する電子メールの一例は以下のとおりです。他の言語でも画像と形式は同じです。

P2Pを介した繁殖

・W32/Zafi.d@MMは以下の文字列を含むC:ドライブのディレクトリに自身をコピーします。

  • share
  • upload
  • music

・このとき、以下のファイル名を使用します。

  • winamp 5.7 new!.exe
  • ICQ 2005a new!.exe
ペイロード

・感染マシンの手動による特定および駆除を阻止するため、W32/Zafi.d@MMは以下の文字列を含むプロセスを終了します。

  • reged
  • msconfig
  • task

・また、実行時にファイアウォール、ウイルス対策などのセキュリティサービスも終了します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
インストール

・W32/Zafi.d@MMが実行されると、偽のエラーメッセージを表示します。

・以下のファイルを%Windir%\System32フォルダにドロップ(作成)します。

  • C:\WINNT\system32\ .EXE - 11,745バイト
  • C:\WINNT\system32\
  • C:\WINNT\system32\Norton Update.exe - 11,745バイト
  • C:\WINNT\system32\ .DLL - (ZIP形式で圧縮されたワーム)
  • C:\s.cm - 20,552バイト(WinZipのDLLモジュール)

・マシンが起動するたびにファイルが実行されるよう、以下のレジストリキーを作成します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run "Wxp4" = C:\WINDOWS\SYSTEM32\Norton Update.exe

・ワームの情報を格納するため、以下のレジストリキーを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

・感染マシン上のTCPポート8181が開かれます。

感染方法TOPへ戻る

・W32/Zafi.d@MMは、電子メールの添付ファイルを自動的に実行するためのセキュリティホールを突いたコードを使用しません。マシンに感染するには、ユーザが感染した添付ファイルまたはP2Pで共有しているファイルをダブルクリックする必要があります。

・ワームがウイルス対策およびファイアウォールソフトウェアに関連するバイナリを上書きしているマシンでは、ユーザーが誤ってワームを実行する可能性が高くなります。

駆除方法TOPへ戻る
手動による駆除 1.セーフモードで再起動
2.Norton Update.exeをWindows system directoryから削除。
3.以下のレジストリキーを削除
●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
4.レジストリに加えられたスタートアップをフックするワームを削除。