ウイルス情報

かかりやすさ:中

( Worm.Zafi.D )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
W32.Erkez.D@mm、WORM_ZAFI.D@mm、W32/Zafi.d@MM
更新日:
2004年12月14日(火)
■感染したらどうなる
  • 偽の英語のエラーメッセージが表示され、ウイルス対策ソフトが正常に動作しなかったり、ネットワークのトラフィックが発生します。また、パソコンの動作が不安定になった場合には要注意です。
■感染しないためには
  • メールに添付された添付ファイルをむやみに実行しないようにしてください。
    拡張子は「.bat、.cmd、.com 、.pif 、.zip」です。詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。
    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
    件名:以下のいずれかの可能性があります。
    Merry Christmas!
    boldog karacsony...
    Feliz Navidad!
    ecard.ru
    Christmas Kort!
    Christmas Vykort!
    Christmas Postkort!
    Christmas postikorti!
    Christmas - Kartki!
    Weihnachten card.
    Prettige Kerstdagen!
    Christmas pohlednice
    Joyeux Noel!
    Buon Natale!

    本文:以下のいずれかの可能性があります。
    -------------------
    Happy HollyDays!
    :) [Recipient]
    -------------------
    Kellemes Unnepeket!
    :) [Recipient]
    -------------------
    Feliz Navidad!
    :) [Recipient]
    -------------------
    :) [Recipient]
    -------------------
    Glaedelig Jul!
    :) [Recipient]
    -------------------
    God Jul!
    :) [Recipient]
    -------------------
    God Jul!
    :) [Recipient]
    -------------------
    Iloista Joulua!
    :) [Recipient]
    -------------------
    Naulieji Metai!
    :) [Recipient]
    -------------------
    Wesolych Swiat!
    :) [Recipient]
    -------------------
    Frohliche Weihnachten!
    :) [Recipient]
    -------------------
    Prettige Kerstdagen!
    :) [Recipient]
    -------------------
    Vesele Vanoce!
    :) [Recipient]
    -------------------
    Joyeux Noel!
    :) [Recipient]
    -------------------
    Buon Natale!
    :) [Recipient]
    -------------------

    添付ファイル:以下の拡張子の可能性があります。
    .bat
    .cmd
    .com
    .pif
    .zip
  • レジストリの値を作成
    添付ファイルを実行すると、偽の英語のメッセージが表示され、ワームがシステムディレクトリに自分自身をコピーし、以下のレジストリを作成します。
    ---------------------------------
    タイトル: CRC: 04F7Bh
    メッセージ: Error in packed file!
    ---------------------------------

    以下にファイルをコピーします。
    %System%\ .EXE
    %System%\
    %System%\Norton Update.exe
    %System%\ .DLL
    C:\s.cm

    同じ場所に以下が作成されます。
    %System%\<8文字のランダムな文字列>.dll

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "Wxp4" = "%System%\Norton Update.exe"

    ワームの情報を保持するために、以下のレジストリを作成します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

    %System%は、システムディレクトリです。
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    htm
    wab
    txt
    dbx
    tbb
    asp
    php
    sht
    adb
    mbx
    eml
    pmr
    fpt
    inb

    以下の文字列を含むアドレスには送信しません。
    yaho
    google
    win
    use
    info
    help
    admi
    ebm
    micro
    msn
    hotm
    suppor
    syman
    viru
    trend
    secur
    panda
    cafee
    sopho
    kasper
  • ファイル共有ソフトでの繁殖
    Cドライブ上の以下の文字列を含むディレクトリに自分自身をコピーします。
    share
    upload
    music

    ファイル名は以下になります。
    winamp 5.7 new!.exe
    ICQ 2005a new!.exe
  • 以下の文字列を含むプログラムを強制終了します。
    reged
    msconfig
    task
  • 不正アクセスの許可
    このウイルスに感染すると、TCPポート8181番が開かれ、不正なアクセスを許可してしまいます。
  • ファイアウォールやアンチウイルスなどのウイルス対策ソフトを停止しようとします。