ソースネクスト・スタイル・セキュリティ

かかりやすさ：中

ザフィ・B

( Worm.Zafi.b )

メール添付ファイルから感染する［メール無断送信］ワーム

別名＿：: W32.Erkez.B@mm
更新日：: 2004年6月11日(金)

■感染したらどうなる

ウイルス対策ソフトが正常に動作しなかったり、ネットワークのトラフィックが発生します。また、パソコンの動作が不安定になった場合には要注意です。

■感染しないためには

メールに添付された添付ファイルをむやみに実行しないようにしてください。
使用される拡張子は「.com、.exe、.pif」です。詳しくは「詳細情報」をご覧ください。

■どうすれば直る

「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。

■詳細情報

6月12日(土)にすでに対応済みですが、感染が拡大しているため、6月15日(火)に"かかりやすさ"低"から"中"へ引き上げました。
送信されるメールの形式は以下の通りですのでご注意ください。
差出人：感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
件名:さまざまな言語でランダムに作成されます。
本文:さまざまな言語でランダムに作成されます。
添付ファイル:ファイル名はランダムな文字列で作成され、使用される拡張子は「.com、.exe、.pif」です。

以下が例になります。

差出人：anita
件名：Ingyen SMS!
添付ファイル："regiszt.php?3124freesms.index777.pif"
本文：
------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s
lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t
a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer
felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------

差出人：claudia
件名：Importante!
添付ファイル："link.informacion.phpV23.text.message.pif"
本文：
Informacion importante que debes conocer, -

差出人：katya
件名：Katya
添付ファイル："view.link.index.image.phpV23.sexHdg21.pif"

差出人：eva
件名：E-Kort!
添付ファイル："link.ekort.index.phpV7ab4.kort.pif"
本文：
Mit hjerte banker for dig!

差出人：marica
件名：Ecard!
添付ファイル："link.showcard.index.phpAv23.ritm.pif"
本文：
De cand te-am cunoscut inima mea are un nou ritm!

差出人：anna
件名：E-vykort!
添付ファイル："link.vykort.showcard.index.phpBn23.pif"
本文：
Till min Alskade...

差出人：erica
件名：E-Postkort!
添付ファイル："link.postkort.showcard.index.phpAe67.pif"
本文：
Vakre roser jeg sammenligner med deg...

差出人：katarina
件名：E-postikorti!
添付ファイル："link.postikorti.showcard.index.phpGz42.pif"
本文：
Iloista kesaa!

差出人：magdolina
件名：Atviruka!
添付ファイル："link.atviruka.showcard.index.phpGz42.pif"
本文：
Linksmo gimtadieno! ha

差出人：beate
件名：E-Kartki!
添付ファイル："link.kartki.showcard.index.phpVg42.pif"
本文：
W Dniu imienin...

差出人：
件名：Cartoe Virtuais!
添付ファイル："link.cartoe.viewcard.index.phpYj39.pif"
本文：
Content: Te amo... ,

差出人：alice
件名：Flashcard fuer Dich!
添付ファイル："link.flashcard.de.viewcard34.php.2672aB.pif"
本文：
Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34 Viel Spass beim Lesen wuenscht Ihnen ihr...

差出人：eva
件名：Er staat een eCard voor u klaar!
添付ファイル："postkaarten.nl.link.viewcard.index.phpG4a62.pif"
本文：
Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link: http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De redactie taalsite primair onderwijs...

差出人：hanka
件名：Elektronicka pohlednice!
添付ファイル："link.seznam.cz.pohlednice.index.php2Avf3.pif"
本文：
Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz -

差出人：claudine
件名：E-carte!
添付ファイル："link.zdnet.fr.ecarte.index.php34b31.pif"
本文：
vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez, l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42 www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5 minutes, du dialogue en direct...

差出人：francesca
件名：Ti e stata inviata una Cartolina Virtuale!
添付ファイル："link.cartoline.it.viewcard.index.4g345a.pif"
本文：
Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente.

差出人：jennifer
件名：You`ve got 1 VoiceMessage!
添付ファイル："link.voicemessage.com.listen.index.php1Ab2c.pif"
本文：
Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can listen your Virtual VoiceMessage at the following link: http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link. Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team (R).

差出人：anita
件名：Tessek mosolyogni!!!
添付ファイル："meztelen csajok fociznak.flash.jpg.pif"
本文：
Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:

差出人：anita
件名：Soxor Csok!
添付ファイル："anita.image043.jpg.pif"
本文：
Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l, addig is cs=F3k: )l@

差出人：jennifer
件名：Don`t worry, be happy!
添付ファイル："www.ecard.com.funny.picture.index.nude.php356.pif"
本文：
Hi Honey! I`m in hurry, but i still love ya... (as you can see on the picture) Bye - Bye:

差出人：david
件名：Check this out kid!!!
添付ファイル："jennifer the wild girl xxx07.jpg.pif"
本文：
Send me back bro, when you`ll be done...(if you know what i mean...) See ya,
レジストリの値を作成
添付ファイルを実行すると、ワームがシステムディレクトリに自分自身をコピーし、以下のレジストリを作成します。
C:\%System%\jrbtgmqi.exe
C:\%System%\enfrbatm.dll

以下のレジストリが作成されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb

システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<ランダムな文字列> = %system%\<ランダムなファイル名>.exe

%System%は、システムディレクトリです。
大量メール送信
このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr

以下の文字列を含むアドレスには送信しません。
admi cafee
google
help
hotm
info
kasper
micro
msn
panda
sopho
suppor
syma
trend
use
vir
webm
win
yaho
Cドライブ上の以下の文字列を含むディレクトリに自分自身をコピーします。
share
upload

ファイル名は以下になります。
Total Commander 7.0 full_install.exe
winamp 7.0 full_install.exe
以下のプログラムを強制終了します。
regedit
msconfig
task

ウイルス情報

ザフィ・B

( Worm.Zafi.b )

メール添付ファイルから感染する［メール無断送信］ワーム