| 対応定義ファイル |
Win32/Zafi.B (別名:W32.Erkez.B)
定義ファイルバージョン1.783 (20040610)
以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■Win32/Zafi.B
Win32/Zafi.B は、電子メールの添付ファイルおよびP2Pネットワーク経由で拡散するワームです。
Windows95以降のすべてのWindowsオペレーティングシステムで動作します。このワームは、FSGユーティリティによって圧縮されており、そのサイズは12,800バイト(解凍後は約49KBバイト)です。
注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを %windir% と表記しており、インストール時の設定により異なる場合があります。 %windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
このワームは、自分自身をメールの添付ファイルとして送信する際に、メールの件名および本文を、ワーム内部であらかじめ定義されたものからランダムに選択します。以下に、件名と本文の例を挙げます。
件名:
eIngyen SMS!
本文:
------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s
lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t
a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer
felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------
件名:
eImportante!
本文:
Informacion importante que debes conocer, -
件名:
oKatya
本文:
ADAOIU
OEIE
件名:
eE-Kort!
本文:
Mit hjerte banker for dig!
件名:
eEcard!
本文:
De cand te-am cunoscut inima mea are un nou ritm!
件名:
eE-vykort!
本文:
Till min Alskade...
件名:
eE-Postkort!
本文:
Vakre roser jeg sammenligner med deg...
件名:
eE-postikorti!
本文:
Iloista kesaa!
件名:
eAtviruka!
本文:
Linksmo gimtadieno!
件名:
eE-Kartki!
本文:
W Dniu imienin...
件名:
eCartoe Virtuais!
本文:
Te amo...
件名:
eFlashcard fuer Dich!
本文:
Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...
件名:
eEr staat een eCard voor u klaar!
本文:
Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...
件名:
eElektronicka pohlednice!
本文:
Ahoj!
Elektronick pohlednice ze serveru http://www.seznam.cz
件名:
eE-carte!
本文:
vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...
件名:
eTi e stata inviata una Cartolina Virtuale!
本文:
Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.
件名:
eYou`ve got 1 VoiceMessage!
本文:
Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender:
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).
件名:
eTessek mosolyogni!!!
本文:
Ha ez a kep sem tud felviditani, akkor feladom!
Sok puszi:
件名:
eSoxor Csok!
本文:
Szia!
Aranyos vagy, jo volt dumcsizni veled a neten!
Remelem tetszem, es szeretnem ha te is kuldenel kepet
magadrol, addig is csok:
件名:
eDon`t worry, be happy!
本文:
Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:
件名:
eCheck this out kid!!!
本文:
Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,
このワームは、電子メールに添付されます。このワームが実行されると、このワームは自分自身を%System% ディレクトリにランダムなファイル名(拡張子は.exe)でコピーします。また、同じディレクトリに、ランダムなファイル名(拡張子は.dll)で新しいファイルを作成します。このワームは、電子メールを利用して感染を広げるために、感染したコンピュータから電子メールアドレスを取得して、このファイルに保存します。
このワームは、作成したファイルがWindowsの再起動時に実行されるように、次のレジストリキーを作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\Run
新しいキー名は、_Hazafibb です。
さらに、次のレジストリキーを作成します。
HKEY_LOCAL_MACHINE\Software\Microsoft\_Hazafibb
このキーには、このワームの内部情報が格納されています。
このワームは、すべてのハードディスクドライブから、"Share" または "upload" という名前のフォルダを検索し、対象フォルダを発見した場合、そのフォルダに自分自身のコピーを次のいずれかのファイル名でコピーします。
Total Commander 7.0 full_install.exe
winamp 7.0 full_install.exe
このワームは、すべてのローカルドライブを検索して、次の拡張子をもつファイルからメールアドレスを取得します。
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
ただし、メールアドレスに次の文字列を含む場合、このワームは自分自身を送信しましせん。
win
use
info
help
admi
webm
micro
msn
hotm
suppor
syma
vir
trend
panda
yaho
cafee
sopho
google
kasper
このワームは、次の文字列を含むプロセスを停止させます。
"firewall"
" virus"
このワームは、次のユーティリティを起動させないようにします。
Regedit
Msconfig
Task
このワームに感染したコンピュータは、次のサイトへリクエストを送信します。
www.parlament.hu
www.virusbuster.hu
www.virushirado.hu
www.2f.hu
Win32/Zafi.B は、NOD32アンチウイルスの拡張ヒューリスティック機能によって検出されるワームの一つです。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.783にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
■Win32/Zafi.B 駆除ツール
ESET社がフリーで提供している駆除支援ツールです。ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。
駆除ツールは下記よりダウンロードいただけます。
http://canon-its.jp/product/nd/virusinfo/vr_a40617_2.html
|
