製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
W32/Zafi@MM
企業ユーザ:
個人ユーザ:
種別インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4352
対応定義ファイル
(現在必要とされるバージョン)
4352 (現在7593)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日04/04/15
発見日(米国日付)04/04/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/18Generic.dx!E...
10/18RDN/Download...
10/18RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
・W32/Zafi@MMは、定義ファイル4250および検索エンジン4.3.20で、ヒューリスティックを有効にしてスキャンすると、New Malware.b (特定のウイルス名ではなく、ウイルスの総称です)として検出されます。

・W32/Zafi@MMが実行されると、ランダムな名前と.EXEおよび.DLLの拡張子を使用して、%windir%\system32フォルダに自身を2度コピーします。

・例:

  • C:\WINNT\system32\bawtsuoc.exe
  • C:\WINNT\system32\ylhefsko.dll

・W32/Zafi@MMは、マシンを起動するたびにファイルを実行するようにレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "xqmguqdx" = C:\WINDOWS\System32\bawtsuoc.exe I3

・次に、ローカルのハードディスク上で電子メールアドレスの検索を開始し、収集したアドレスを、ランダムな名前と.DLLのファイル拡張子を使用してsystem32フォルダの5つのファイルに格納します。

・例:

  • C:\WINNT\system32\dnszokke.dll
  • C:\WINNT\system32\eajgrjic.dll
  • C:\WINNT\system32\jgehkgju.dll
  • C:\WINNT\system32\vipmcylx.dll
  • C:\WINNT\system32\wthrwhbu.dll

・これらのファイルの参照先は、以下のレジストリキーに格納されており、W32/Zafi@MMで作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Hazafi

・電子メールの添付ファイルと件名は常に同一です。

送信者:(偽造されたアドレス)
送信先:(収集されたアドレス)
件名: Kepeslap erkezett
本文:
Tisztelt felhaszn疝・

ヨnnek k駱eslapja 駻kezett!
A k駱eslap feladja: [spoofed address]
A lapot az al畸bi cimen tudja megtekinteni: http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2
vagy a mell駝elt internetlink kattint疽疱al.
ワdvzlettel: Matav e-card!
http//www.netezz.matav.hu/

英語による翻訳:

Dear Customer!

You received a new e-card!
Sender: [spoofed address]
You can view your e-card at the following address:
http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2
or by clicking the attached Internet-link.
Best regards: Matav e-card
http//www.netezz.matav.hu/

添付ファイル:

  • link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com

・W32/Zafi@MMはプロセスリストをモニタし、以下の名前のプログラムを終了します。

  • dfw.exe
  • fsav32.exe
  • fsbwsys.exe
  • fsgk32.exe
  • fsm32.exe
  • fssm32.exe
  • fvprotect.exe
  • mcagent.exe
  • navapw32.exe
  • navdx.exe
  • navstub.exe
  • navw32.exe
  • nc2000.exe
  • ndd32.exe
  • netarmor.exe
  • netinfo.exe
  • netmon.exe
  • nmain.exe
  • nprotect.exe
  • ntvdm.exe
  • ostronet.exe
  • outpost.exe
  • pccguide.exe
  • pcciomon.exe
  • regedit.exe
  • regedit32.exe
  • taskmgr.exe
  • tnbutil.exe
  • vbcons.exe
  • vbsntw.exe
  • vbust.exe
  • vsmain.exe
  • vsmon.exe
  • vsstat.exe
  • winlogon.exe
  • zonalarm.exe

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルおよびレジストリキーが存在します。

・プロセスを終了します。

・ネットワークのトラフックが発生します。

感染方法TOPへ戻る
・W32/Zafi@MMは、電子メールの添付ファイルを自動的に実行するためにエクスプロイトコードを使用することはありません。感染するには、感染マシンの感染した添付ファイルをユーザがダブルクリックする必要があります。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足