ウイルス情報

ウイルス名 危険度

W32/Zezer.worm.gen

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4296
対応定義ファイル
(現在必要とされるバージョン)
4371 (現在7656)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Zezer (AVP):W32/Dozer
情報掲載日 03/10/01
発見日(米国日付) 03/09/30
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Zezer.worm.genはMSN Messengerのコンタクトリストを介して電子メールアドレスを収集し、以下のような電子メールメッセージで届きます。

宛先: (hotmailユーザアカウントがターゲットになります)
送信者: (以下のいずれか)

  • winpatch@microsoft.com
  • services@microsoft.com
  • msnsupport@microsoft.com
  • helpdesk@microsoft.com
  • security@microsoft.com
  • windowsupdate@microsoft.com

件名: Windows Update(MSN Messenger Update 6 の脆弱性)

本文: Attention All Microsoft Users: A patch has been issued to correct a vulnerability in MSN Messenger which can be performed by a malicious user in order to gain unauthorized access to compromised computers. Windows users who have MSN Messenger 4.x and higher versions are affected by this vulnerability and must download and install the patch labeled Msn_inst.exe, which is attached to this email message. For any support regarding this patch please contact support@microsoft.com for more information.

添付ファイル: Msn_inst.exe

・添付ファイルが実行されると、以下の偽のエラーメッセージを表示します。

・ローカルシステム上の複数のロケーションに自身をコピーします。

  • %StartUp folder%\msnexec.exe
  • %WinDir%\Mscsgs.exe
  • %WinDir%\Msn_inst.exe
  • %WinDir%\Msn_updt.exe
  • %SysDir%\Mscsgs32.exe

・起動時にウイルスが読み込まれるように、以下のレジストリ実行キーが作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Mscsgs" = C:\WINDOWS\Mscsgs.exe

・以下のレジストリキーも作成されます。

  • HKEY_CURRENT_USER\Software\Zed\Dozer
    "Dozer" = W32/Dozer by Zed

・MSNContactという名前のサブキーは、Dozerキーの下に作成されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Zezer.worm.genには2つの発病ルーチンがあります。

・1つは以下のレジストリキーを作成するためのレジストリ編集ツールを無効にします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\System "DisableRegistryTools" = 1

・もう1つは以下のプロセス名を含むセキュリティソフトウェアを終了します。

  • AVP32.EXE
  • AVPCC.EXE
  • AVPM.EXE
  • ACKWIN32.EXE
  • ANTI-TROJAN.EXE
  • APVXDWIN.EXE
  • AUTODOWN.EXE
  • AVCONSOL.EXE
  • AVE32.EXE
  • AVGCTRL.EXE
  • AVKSERV.EXE
  • AVNT.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPDOS32.EXE
  • AVPM.EXE
  • AVPMON.EXE
  • AVPNT.EXE
  • AVPTC32.EXE
  • AVPUPD.EXE
  • AVSCHED32.EXE
  • AVWIN95.EXE
  • AVWUPD32.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • CCAPP.EXE
  • CFIADMIN.EXE
  • ESAFE.EXE
  • CFIAUDIT.EXE
  • CFIND.EXE
  • CFINET.EXE
  • CFINET32.EXE
  • CLAW95.EXE
  • CLAW95CF.EXE
  • CLAW95CT.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • DV95.EXE
  • DV95_0.EXE
  • DVP95.EXE
  • ECENGINE.EXE
  • EFINET32.EXE
  • ESPWATCH.EXE
  • F-AGNT95.EXE
  • FINDVIRU.EXE
  • FPROT.EXE
  • F-PROT.EXE
  • FPROT95.EXE
  • F-PROT95.EXE
  • F-STOPW.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • IBMASN.EXE
  • IBMAVSP.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICMOON.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFACE.EXE
  • IOMON98.EXE
  • JEDI.EXE
  • KPFW32.EXE
  • LOCKDOWN2000.EXE
  • LOOKOUT.EXE
  • LUALL.EXE
  • MOOLIVE.EXE
  • MPFTRAY.EXE
  • N32SCAN.EXE
  • N32SCANW.EXE
  • NAVAPW32.EXE
  • NAVLU32.EXE
  • NAVNT.EXE
  • NAVSCHED.EXE
  • NAVW.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORMIST.EXE
  • NUPGRADE.EXE
  • NVC95.EXE
  • OUTPOST.EXE
  • PADMIN.EXE
  • PAVCL.EXE
  • PAVSCHED.EXE
  • PAVW.EXE
  • PCCWIN98.EXE
  • PCFWALLICON.EXE
  • PERSFW.EXE
  • RAV7.EXE
  • RAV7WIN.EXE
  • RESCUE.EXE
  • SAFEWEB.EXE
  • SCAN32.EXE
  • SCAN95.EXE
  • SCANPM.EXE
  • SCRSCAN.EXE
  • SERV95.EXE
  • SPHINX.EXE
  • SWEEP95.EXE
  • TBSCAN.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • VCONTROL.EXE
  • VET32.EXE
  • VET95.EXE
  • VET98.EXE
  • VETTRAY.EXE
  • VSCAN40.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSSCAN40.EXE
  • VSSTAT.EXE
  • WEBSCAN.EXE
  • WEBSCANX.EXE
  • WFINDV32.EXE
  • ZAPRO.EXE
  • ZONEALARM.EXE

TOPへ戻る

感染方法

・W32/Zezer.worm.genは電子メールを介して、MSN MessengerのAPI 呼び出しをフックすることで、主にhotmailユーザアカウントへ繁殖します。また、W32/Zezer.worm.genはキャッシュされたパスワードを詐取して、netdozer@hotmail.comへ電子メールで送信します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る