WORM_WINEVAR.A - 概　要

概　要

対応方法

詳　細

感染状況

参　照

最新パターンファイル |

ウイルスタイプ: ワーム

別　名: I-Worm.Winevar, ウィンエバー, W32.HLLW.Winevar, Win32/Winevar.A, W32/Korvar, W32/Winevar@mm

感染報告の有無 : なし

破壊活動の有無: あり

言語: 英語

プラットフォーム: Windows

暗号化: なし

危険度:

特　徴:
　2002年11月27日現在、パターン396以前では検出できない亜種の流行が確認されています。最新のウイルス対策のためにもパターンファイルは最新にアップデートすることをお勧めします。

　これは一般的に「ワーム」に分類されるトロイの木馬型不正プログラムです。自身のコピーを電子メールに添付し任意の宛先に送信して頒布するワーム活動を行います。ワームの送信するメールの件名や本文は以下の通りです：

件名候補１："N`4＜Windowsに登録された組織名＞"
件名候補２："Re: AVAR(Association of Anti-Virus Asia Reseachers)"
本文：＜Windowsに登録された使用者名＞_＜Windowsに登録された組織名＞

・メール内容例：
件名例："N`4ORGANIZATION
本文例："USER_ORGANIZATION"

　メール件名は件名候補１が３通に２通（66%の確率）、件名候補２が３通に１通（33%の確率）の割合で選択されます。また、件名候補１の先頭４文字（"N`4"）はエンコードが正常に行えないための文字化けです。

　メールには以下の２種のファイルが添付されます：

"WIN"＋＜不定な数字列＞＋".GIF (120 bytes) MUSIC_2.CEO"
"WIN"＋＜不定な数字列＞＋".TXT (12.6 KB) MUSIC_1.HTM"

　＜不定な数字列＞は基本的には４～５文字でうち１文字がアルファベットの場合もあります。
　また、メールの送信者と受信者に同一のメールアドレスがセットされます。

　ワームのメールには一般に「IFRAME」と呼ばれるインターネットエクスプローラのセキュリティホール（MS01-020)を利用し、ダイレクトアクション活動を行うためのコードが含まれています。ワームのダイレクトアクションを防ぐためにもWindowsのアップデートを行ってください。

　ワームは実行後にウイルス対策ソフトなどのプロセスを強制終了させる活動も行います。また、感染後最初の起動時にローカルドライブ内のファイルを削除する悪質な破壊活動も行います。感染が確認されたコンピュータは決して再起動しないでください。

このウイルスに関しては次の情報も参照してください。
対応方法
 詳細
 感染状況

情報公開日: 2002/11/25
情報更新: 2002/11/27

ウイルスデータベース検索

このウイルス情報に関して. こちらのアンケートにお答えください。