メールで感染するヴィルス（ワーム）が流行っています、みなさん対策していると思いますが注意してください。

ＩＥ５．５＋ＳＰ２　か　ＩＥ６．０　にバージョンアップしていない人で
アンチヴィルスソフト入れてない人は、早急に対策が必要です。

ＩＥ５．５＋ＳＰ２　と　ＩＥ６．０　にパッチがでています。
2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム (MS01-058)

Microsoft Outlook、 Microsoft Outlook Expressや Internet Explorer の一部バージョン用パッチ
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-027

　ＩＥ５．５＋ＳＰ２　と　ＩＥ６．０　は最低限の対応で、　添付ファイルが自動的に実行されないだけです。添付ファイルを開けば対策していないのと同じ事ですので、　知らないアドレスからのメールに、添付ファイルがあったら開かないのが鉄則です。ただしプレビューするだけで、自動的に実行されるものがありますので、やはりアンチヴィルスソフトによる対策が必要かと。

ウイルス名	種　　類	発見年月	概　要		別　名	危険度 (1-5)
W32/Klez-F	Win32 ワーム	02年1月21日	W32/Klez-A の亜種です。	詳細	W32/Klez@mm,W32/Klez.F	？
XM97/Laroux-OM	Excel 97 マクロウイルス	02年1月18日	XM97/Laroux ファミリーのメンバーで、悪質なペイロードはありません。	詳細		？
WM97/Marker-KC	Word 97 マクロウイルス	02年1月18日	破壊されつつも実行可能な WM97/Marker-C の亜種です。	詳細		？
W32/ElKern-B	Win32 実行ファイル感染型ウイルス	02年1月18日	Windows 98、Windows Me、Windows 2000、及びWindows XP 環境下で作動する実行ファイル感染型ウイルスです。	詳細		？
W32/Klez-E	Win32 ワーム	02年1月18日	W32/Elkern-B ウイルスの圧縮コピーを持つ Win32 ワームで、実行された際に、このウイルスをドロップし、実行します。	詳細	W32/Klez@mm	？
W32/ElKern-B	Win32 実行ファイルウイルス	02年1月18日	Windows 98、Windows Me 及び Windows 2000、XP 環境下で作動する実行ファイル感染型ウイルスです。	詳細		？
W32/Maldal-F	Win32 ワーム	02年1月17日	Microsoft Outlook を使用して自身を Outolookアドレス帳にある全てのアドレスへ自身を送信します。	詳細		？
WM97/Fifteen-A	Word 97 マクロウイルス	02年1月15日	ワードマクロウイルスの一種で、毎月15日または30日に感染した文書にパスワードを設定します。	詳細		？
Troj/Palukka	トロイの木馬	02年1月11日	バックドア・トロイの木馬	詳細		？
JS/Gigger-A	JavaScript ウイルス	02年1月11日	JavaScript ウイルス	詳細		？
VBS/RTF-Senecs, Troj/Sub7-21-I	Visual Basic スクリプトワーム, バックドア・トロイの木馬	02年1月11日	Visual Basic スクリプトワーム	詳細	Troj/Senecs, W32/Lastscene@mm, TROJ_SCENES	？
W32/Lohack-A	Win32 ワーム	02年1月11日	単純なマスメーリングインターネットワームです	詳細		？
W32/Donut-A	Win32 実行ファイルウイルス	02年1月11日	.NET 感染型 Windows ファイル感染です。	詳細		1
SWF/LFM-926	Shockwave infector	02年1月8日	通常ウェブサイト上のアニメーションや特殊効果に使用されるShockwave Flash ファイル (.SWF) に感染する能力を持つ、初めてのウイルスです。	詳細		？
WM97/Opey-AX	Word 97 マクロウイルス	02年1月8日	ワードマクロ感染型ウイルスで、ワード上のユーザー情報を変更します	詳細		？
XM97/Bdoc2-A	Excel 97 マクロウイルス	02年1月8日	ウイルスコードが含まれるファイルAutoRun.xla をXLSTART ディレクトリに作成します。4月26日に、ローマ字ではない文字でメッセージを表示することがあります。	詳細		？
W32/Shatrix-A	Win32 ワーム	02年1月8日	電子メール送信型ワームで、メールの添付ファイルとして感染拡大します。	詳細		？
W32/Hybris-C	Win32 ワーム	02年1月7日	インターネットを介して自らの機能を更新するワームです。	詳細		？
VBS/Haptime-Fam	Visual Basic スクリプトワーム	02年1月7日	VBS/Haptime ファミリーに属するワーム	詳細		？
W32/GOP-A	Win32 ワーム	02年1月7日	電子メール送信型で、パスワードを盗む Windows 32 ワームです。	詳細	W32.HLLW.GOP	？
JS/Seeker-E	トロイの木馬	02年1月3日	Microsoft セキュリティ情報 MS00-075 に説明のある、セキュリティの脆弱性を利用する悪質なスクリプトです。	詳細		？
Troj/Download-A	トロイの木馬	02年1月3日	DLDER.EXE と EXPLORER.EXE の2つのファイルより構成されています。	詳細	Trojan.Win32.Dlder, W32.DlDer.Trojan, Dlder,TROJ_DLDER.A, Trojan/W32.Dlder	？
W32/Maldal-G	Win32 ワーム	01年1月3日	電子メールの添付ファイルとして感染拡大するワームです。	詳細	I-Worm.Maldal	２
W32/Maldal-D	Win32 ワーム	01年12月31日	電子メールの添付ファイルとして感染拡大するワームです。	詳細	W32/Maldal.D@mm, Win32.Maldal.E	２
W32/Shoho-Fam	Win32 ワーム	01年12月28日	数種類の W32/Shoho Win32 ワームファミリーの亜種	詳細	W32/Shoho@mm, I-Worm.Welyah	２
VBS/Dismissed-B	Visual Basic Script ウイルス	01年12月20日	VBS/Dismissed-A に類似したウイルスです。Internet Explorer の数種の脆弱なバージョンでページを開くことにより実行されます。	詳細		？
VBS/Dismissed-A	Visual Basic Script ウイルス	01年12月20日	Internet Explorer の数種の脆弱なバージョンでページを開くことにより実行されます。このウイルスはネットワーク共有を使用して感染を拡大し、また mIRC を使用して感染を拡大しようと試みます。	詳細		？
W32/Zacker-C	Win32 worm	01年12月20日	Microsoft Outlook または Microsoft Messenger を使用して感染を拡大するワームです。	詳細	W32/Maldal.c@MM、 W32/Reeezak.A@mm、 I-Worm.Keyluc	３
JS/CoolSite-A	JavaScript ワーム	01年12月20日	Microsoft Security Bulletin MS00-075 に詳述されているセキュリティの脆弱性を攻撃して感染を拡大するワームです。	詳細		２
WM97/Marker-JY	Word 97 マクロウイルス	01年12月19日	ウイルスファイルは含まれていませんが、C:\himem.sys というファイルを作成します。	詳細		３
VBS/Grate-B	Visual Basic スクリプトワーム	01年12月18日	"Merry Christmas!!!"の件名を伴ってメールに届きます。メールの本文は空白です。このワームは greetings.txt.vbs というファイルを添付しています。	詳細		２
WM97/Marker-JZ	Word 97 マクロウイルス	01年12月14日	WM97/Marker-C Word マクロウイルスの亜種です。	詳細		２
W32/Zacker-A	Win32 ワーム感染型ウイルス	01年12月14日	電子メールの添付ファイルとして、LucKey.exeという名前で感染を拡大します。	詳細		２
W32/Gokar-A	Win32 ワーム感染型ウイルス	01年12月14日	電子メールの添付ファイルとして、感染を拡大します。	詳細		３
WM97/Footer-Fam	Word 97 マクロウイルス	01年12月10日	WM97/Footer Word マクロウイルスファミリーの亜種。	詳細	Alias	２
WM97/Marker-KA	Word 97 マクロウイルス	01年12月7日	WM97/Marker Word マクロウイルスファミリーのメンバーです。	詳細		２
W32/Updatr-A	Win32 ワーム	01年12月7日	ユーザーのアドレス帳にあるすべての人に自身を電子メールで送ります。	詳細	I-Worm.Updater　Win32/Updatr.A@mm	２
W32/Eira-A	Win32 ワーム	01年12月5日	人気のあるコンピュータゲーム Quake のデモを装ったマスメーリングインターネットワームです。	詳細		１
W32.Goner.A@mm	W32 ワーム	01年12月4日	このワームは GONE.SCR と呼ばれる添付ファイルとして、電子メールを経由して感染を拡大します。	詳細	I-Worm.Goner, Gone, W32/Goner@MM, Pentagone	４
W32.Badtrans.B@mm		01年11月24日				４
W32.Nimda.A@mm		01年9月18日				４


	シマンテックＨＰ
	セキュリティーレスポンス
	現在のヴィルス情報リスト
	Symantec Security Check

ウイルス名	内　　　　　容
W32/Klez-F	W32/Klez-A の亜種です。 W32/Klez-F は W32/Klez-E と非常に良く似た活動をします。これは、W32/ElKern-B ウイルスの圧縮コピーを運ぶワームです。W32/ElKern-B はワームが実行された時に作成、実行されます。このワームは Windows のアドレス帳にある電子メールアドレスのエントリーを探しますが、送信の際にはこのワームが持つ独自のメールルーチンを使用します。電子メールは以下の特徴をもちます：件名：ワームの本文と以下のリストから、任意に作成されます： How are you Let's be friends Darling Don't drink too much Your password Honey Some questions Please try again Welcome to my hometown the Garden of Eden introduction on ADSL Meeting notice Questionnaire Congratulations Sos! japanese girl VS playboy Look,my beautiful girl friend Eager to see you Spice girls' vocal concert Japanese lass' sexy pictures 内容：メッセージの内容はワームによって任意に作成されますが、テキスト内容を含まないものもあります。添付ファイル：以下のいずれかの拡張子を持つ任意のファイル名が付けられています： .PIF, .SCR, .EXE, .BAT メッセージ内容に表示される送信者のアドレスは、ウイルス内にあるリストから選択されます。 W32/Klez-F は、数社のアンチウイルス製品を無効にし、アンチウイルスに関連するファイルを削除しようとします。このワームは Microsoft Outlook、 Microsoft Outlook Expressや Internet Explorer の一部のバージョンにおける MIME エンコーディングの脆弱性を衝いて、ユーザーのダブルクリックなしに添付ファイルを実行しようとします。Microsoft は、この脆弱性に対する安全を確保するためのパッチを発表しました。 http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-027 よりダウンロード可能です。（このパッチは、このワームが利用する脆弱性を含む、Microsoft 社製品にある複数の脆弱性を修正します。）また W32/Klez-F は、拡張子が2つ付いた任意のファイル名を使用して他のマシンの遠隔共有へ感染を拡大する場合があります。遠隔共有上でワームは RAR アーカイブを作成し、自身を追加します。アーカイブ上のワームのファイル名は、以下のリストから任意に選択されます： Setup Install Demo Snoopy Picacu Kitty Play Rock Windows の System ディレクトリへ自身を任意のファイル名でコピーし、ワームファイルを Windows のスタートアップで起動させるために、以下のレジストリキーがそのファイルを指定するよう設定します：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\<ワームファイル>
XM97/Laroux-OM	XM97/Laroux ファミリーのメンバーで、悪質なペイロードはありません。このウイルスは、XLSTART ディレクトリにNegs.xls という、ウイルスコードを含んだファイルを作成します。
WM97/Marker-KC	破壊されつつも実行可能な WM97/Marker-C の亜種です。感染ドキュメントが閉じている際、感染しているユーザーの情報を、Word から FTP で Codebreakers（ハッキング関連のグループ）のサイトへ送信しようとします。また、この情報をマクロコードの最後にコメントとして追加します。
W32/ElKern-B	Windows 98、Windows Me、Windows 2000、及びWindows XP 環境下で作動する実行ファイル感染型ウイルスです。ファイルのキャビティ（穴）に感染することが可能で、感染ファイルのサイズを変更しない場合があります。 Windows 98 環境と Windows Me 環境で W32/ElKern-B は、自身を隠しファイル Wqk.exe として Windows のシステムディレクトリへコピーし、マシンが起動される度にウイルスが実行されるよう、レジストリキー HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WQK がこのファイルを指定するようにします。 Windows 2000 環境と Windows XP 環境で W32/ElKern-B は、自身を隠しファイル Wqk.dll として Windows のシステムディレクトリへコピーし、マシンが起動される度にウイルスが実行されるよう、レジストリキー HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs がこのファイルを指定するようにします。このウイルスは、W32/Klez-E ワームによって運ばれ、マシンに置かれます。
W32/Klez-E	W32/Elkern-B ウイルスの圧縮コピーを持つ Win32 ワームで、実行された際に、このウイルスをドロップし、実行します。このワームは Windows のアドレス帳にある電子メールアドレスのエントリーをサーチしますが、送信の際にはこのワームが持つ独自のメールルーチンを使用します。この電子メールは以下の文字を含んでいます：件名：以下のリストから選択されるか、任意に作成されます。 How are you Let's be friends Darling Don't drink too much Your password Honey Some questions Please try again Welcome to my hometown the Garden of Eden introduction on ADSL Meeting notice Questionnaire Congratulations Sos! japanese girl VS playboy Look,my beautiful girl friend Eager to see you Spice girls' vocal concert Japanese lass' sexy pictures 内容：電子メールの内容はワームによって任意に構成されていますが、メッセージ自身はテキスト内容を含んでいません。添付ファイル：以下の拡張子を持つ任意のファイル名が付けられています。 .PIF, .SCR, .EXE .BAT 内容に表示される送信者のアドレスはウイルス内にあるリストから選択されます。 W32/Klez-E は数社のアンチウイルス製品を無効にしアンチウイルスに関連するファイルを削除しようとします。このワームは Microsoft Outlook、 Microsoft Outlook Express や InternetExplorer の MIME エンコーディングの脆弱性を衝いて、ユーザーのダブルクリックなしに添付ファイルを実行しようとします。 Microsoft は、この脆弱性に対する安全を確保するためのパッチを発表しました。 http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-027 よりダウンロード可能です。（このパッチは、このワームが利用する脆弱性を含む、Microsoft 社製品にある複数の脆弱性を修正します。）また W32/Klez-E は任意のファイル名を使用して他のマシンの遠隔共有へ感染を拡大しようとします。このワームは Windows の System ディレクトリへ自身を任意のファイル名でコピーします。またこのワームファイルを Windows のスタートアップで起動させるために以下のレジストリキーをこのファイルが指定されるように設定します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
W32/ElKern-B	Windows 98、Windows Me 及び Windows 2000、XP 環境下で作動する実行ファイル感染型ウイルスです。ファイルのキャビティ（穴）に感染することが可能で、感染ファイルのサイズを変更しない場合があります。 Windows 98 環境と Windows Me 環境で W32/ElKern-B は、自身を隠しファイル Wqk.exe として Windows のシステムディレクトリへコピーし、マシンが起動される度にウイルスが実行されるよう、レジストリキー HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WQK がこのファイルを指定するようにします。 Windows 2000 環境と Windows XP 環境で W32/ElKern-B は、自身を隠しファイル Wqk.dll として Windows のシステムディレクトリへコピーし、マシンが起動される度にウイルスが実行されるよう、レジストリキー HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs がこのファイルを指定するようにします。このウイルスは W32/Klez-E ワーム、及びその亜種によって運ばれ、マシンに置かれます。
W32/Maldal-F ワーム	Microsoft Outlook を使用して自身を Outolookアドレス帳にある全てのアドレスへ自身を送信します。この電子メールは以下の特徴をもっています：件名: Happy New Year 本文: Hii I can't describe my feelings But all I can say is happy New Year :) bye 添付ファイル: Christmas.exe 初めて実行されると、ワームは自身を Windows ディレクトリへ Christmas.exeとしてコピーし、以下のレジストリエントリを作成します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Zacker = <Windows>\Christmas.exe これによって、このファイルは、マシンが起動される度に自動的に実行されます。また、キーボードを無効にしようとして、以下のレジストリキーをそれぞれ設定することによって、コンピュータ名とブラウザのデフォルトホームページを変更します。 HKLM\System\CurrentControlSet\Control\ComputerName\ComputerName\ComputerName = Zacker HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
WM97/Fifteen-A	ワードマクロウイルスの一種で、毎月15日または30日に感染した文書にパスワードを設定します。パスワードは以下のとおりです。 >>xvx<< またユーザーが、メニュー「ヘルプ」－「バージョン情報」へアクセスしようとすると、以下のようなメッセージを表示します。タイトル: >>>>>> XVX <<<<<< 本文: VIRUS INFECTED
Troj/Palukka	バックドア・トロイの木馬で、リモートユーザーがIRC チャネル経由で、感染したコンピュータへ接続、制御できるようにします。初回の実行時に、自身のコピーを Windows フォルダへ作成し(使用ファイル名はウイルスによって設定可能)、システムレジストリへ新規にキーを登録してコンピュータが再起動される度、自動的にこのファイルが実行されるようにします。新規に作成されるサブキーは、以下のレジストリの一つに登録されます: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce サーバーが起動すると、IRC チャネルまたは電子メール経由で、マシンが接続可能であることをリモートユーザーへ通知しようとします。
JS/Gigger-A	JavaScript ウイルスで、以下のうちどちらかの特徴を持った電子メールとして到着します: 件名: Outlook Express Update 本文: MSNSofware Co. 添付ファイル: Mmsn_offline.htm または、件名: recipient@Address, i.e. the email address of the recipient 本文: Microsoft Outlook 98. 添付ファイル: Mmsn_offline.htm ウイルスが実行されると、以下のファイルを作成しようとします: C:\Bla.hta C:\B.htm C:\Windows\Samples\Wsh\Charts.js C:\Windows\Samples\Wsh\Charts.vbs C:\Windows\Help\Mmsn_offline.htm また、拡張子が INI または HLP であるファイルが含まれるフォルダにScript.ini というファイルを作成します。このウイルスは、HTM, HTML, ASP ファイルに感染し、また以下の行をC:\Autoexec.bat に追加しようとします: Echo y\|format c: これにより、文字「Y」を「Yes」として使用している Windows のバージョンでは、起動時に C ドライブのフォーマットを実行しようとします。 JS/Gigger-A は、以下のレジストリキーを作成します: HKCU\Software\Microsoft\Windows Scripting Host\Settings\Timeout HKCU\Software\TheGrave\badUsers\v2.0 そして、'NAV DefAlert' という値を以下のレジストリに追加します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run このウイルスには、"This virus is donation from all Bulgarians"という文が含まれています。
VBS/RTF-Senecs	Visual Basic スクリプトワームで、以下の特徴を持った電子メールで到着します。件名: "Scene from last weekend" 本文: "Please do not forward" 添付ファイル名: scenes.zip この ZIP 形式の添付ファイルは、scenes.wri というリッチテキスト形式の文書ファイルを含んでいます。この文書ファイルを開くと、埋め込みオブジェクトとして2つのアイコンが表示されます。どちらも画像ファイルのアイコンのように見えますが、実際の埋め込みオブジェクトは、実行可能ファイルです。埋め込まれた実行可能ファイルが実行されると、Microsoft Outlook のアドレス帳の全連絡先に scenes.zip を送信しようとする VBS ファイルを作成し、実行します。Troj/Senecs はさらに、（Sophos Anti-Virus がTroj/Optix-03-C と Troj/WebDL-E として検出する）2つのトロイの木馬を作成します。 Troj/Optix-03-C はバックドア・トロイの木馬で、サーバープロセスとしてバックグラウンドで実行され、（クライアントプログラムを実行している）リモートユーザーによる接続とマシンの制御を可能にします。初めて実行された時に、<Windows ディレクトリ名>\OleFiles\ というサブディレクトリを作成して自身を移動し、以下のレジストリ・キーを作成します。 HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\UserShell Folders\Common Startup = <Windows ディレクトリ名>\OleFiles\<トロイの木馬名>. これにより、マシンの再起動時に、自動的にサーバープロセスが実行されることが確実になります。 Troj/WebDL-E は tripod.com にあるウェブサイトより、あるプログラムをダウンロードして実行しようとします。ダウンロードされたプログラムは、Troj/Sub7-21-I バックドア・トロイの木馬です。Troj/WebDL-E はまた、実行に成功したという通知メッセージを、ある ICQ アカウントへ送信しようとします。実行後、トロイの木馬は自身をシステムから削除します。 Troj/Sub7-21-I はバックドア・トロイの木馬です。サーバープログラムがインストールされると、コンピュータはリモートマシンからのセキュリティ攻撃に対して無防備となります。接続が確立されると、攻撃者はパスワードなどの機密情報を取得し、感染したコンピュータを制御できるようになります。
W32/Lohack-A	単純なマスメーリングインターネットワームです。このワームはローカルハードドライブにあるファイルをサーチして電子メールアドレスを見つけ出し自身を送信します。以下の文字を伴って電子メールとして届きます：件名： Hacking course... 内容： Look the hacking course - version 1.0! By senna Spy - Made In Brazil http://www.avpavp.hpg.com.br 添付ファイル： hacking.exe このワームは電子メールをプレビュー表示をするだけでは自動的に実行されません。ユーザーが添付ファイルを開くためにダブルクリックした際に実行されます。 W32/Lohack-A は Windows ディレクトリに関連するドライブに位置しその後ファイルサイズが 16 以上あるドライブ及び拡張子が TXT、HTM、 EML、 MSG、 DBX、 MDX、 NCH 、 IDX のいずれか1つと適合するファイルをサーチします。電子メールアドレスが「<>」で囲まれているアドレス、例えば：<test@test.com>をサーチし、その後 MAPI ベースである Microsoft Outlook や Outlook Expressの電子メールクライアントを利用してこれらのアドレスへ自身を送信します。このワームはシステムレジストリには何ら変更は及ぼしません。またファイルを改変したり作成することもありません。
W32/Donut	.NET 感染型 Windows ファイル感染です。感染したファイルが実行されると、 .NET コードを含む実行可能なファイルを探し出そうとカレントディレクトリとその上位にあるディレクトリをサーチします。サーチされたファイルは Windowsが通常の実行ファイルと見なすように改変されます。この時、これらのファイルはウイルスに感染されます。感染後ウイルスは自身のコピーを作成します。使用されるファイル名は拡張子の前にあるファイル名の最後に空白を1つ追加して作成されます。その後このファイルは実行され、 Windows XP 上では以下のはメッセージボックスを表示します： This cell has been infected by dotNET virus!.NET.dotNET by Benny/29A Windows 2000 上ではこのウイルスは繰り返しファイル名にスペースを更に追加して自身のコピーを作成し、その後、数百のファイルが実行されるまでコピーファイルを作成し続けます。このプロセスは最終的には終了します。最後にこのウイルスは通常の .NET ファイルとして実行されるように .NETコードの原型をコピーします。このファイルは空白が1つ追加された一番初めに感染したファイルと同じファイル名がついています。
SWF/LFM-926	通常ウェブサイト上のアニメーションや特殊効果に使用されるShockwave Flash ファイル (.SWF) に感染する能力を持つ、初めてのウイルスです。 SWF ファイルが実行されると、ウイルスは "Loading.Flash.Movie..." というメッセージを表示し、カレントディレクトリにある他の SWF ファイルに感染します。ウイルスは、Shockwave ファイルを、スクリプトを使用できるようにします。この場合、V.COM というファイルを作成するデバッグスクリプトを実行する、コマンドライン・インタープリタを実行します。その際、このファイルは自動的に実行され、カレントディレクトリ内にある全 SWF ファイルに感染します。テストにおいて、ウイルスの Shockwave 関連部分は、SWF ファイルが感染したウェブサイトからダウンロードされ、Shockwaveプレイヤーを使用して開いた時に作動すると確認しています。
WM97/Opey-AX	ワードマクロ感染型ウイルスで、ワード上のユーザー情報を以下のように変更します: ユーザー名 : "OPEY A." ユーザー住所 : "(DCS) PHILIPPINES" また、ファイル情報の作成者を "CARLO O." に、タイトルを "GREAT" に変更します。ウイルスは、メニューバーから、ツール－マクロとツール－ユーザー設定を表示されないようにします。 9月9日、1月1日、10月1日、または11月14日に、C:\autoexec.bat を変更しシステム起動時に、"HAPPY BIRTHDAY TO YOU !!!" と "from: CARLO O."というメッセージを表示する行を追加します。Windows の起動を続けるためにスペースバーを押下しなければならなくなります。
XM97/Bdoc2-A	ウイルスコードが含まれるファイル AutoRun.xla をXLSTART ディレクトリに作成します。4月26日に、ローマ字ではない文字でメッセージを表示することがあります。また、5の倍数である日に、現在のウィンドウセッションを終了しようとします。
W32/Shatrix-A	電子メール送信型ワームで、メールの添付ファイルとして感染拡大します。メールの件名：「FW:Shake a little」メールの本文：「Hi !This will shake your world :-)Regards」このワームは、Shake.exe という添付ファイルに含まれています。ワームが実行されると、ウィンドウは、数秒間、任意に画面上を動き回ります。その後、ワームは、任意のファイル名で、自らを Windowsのシステムディレクトリにコピーし、以下のレジストリのいずれかに値を追加します： HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemInfo あるいは HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemInfoM これには、コピーされたファイルのファイル名が含まれています。また、ワームは、ディレクトリ \inetpub\wwwroot にある、拡張子が .HTM,.HTML, .ASP のファイルを探し、見つけた場合、それを編集して、以下のメッセージを、1つ、あるいは複数含むようにします：「MatriX is out there」「010011010110000101110100011100100110100101011000」「MatriX has You...」「MatriX is All around You」
W32/Hybris-C	は、インターネットを介して自らの機能を更新するワームです。このワームは、基本となる部分と、自己更新機能を持つ複数のコンポーネントから成っています。各コンポーネントは、128ビット強度暗号作成法で暗号化されており、ワーム本体に記憶されています。このワームが起動すると、WSOCK32.DLL に感染します。そして、電子メールが送信される度に、同じ受信者へ、異なるメッセージで自らのコピーを添付ファイルとして送信しようとします。このワームが引き起すその他の症状は、インストールされたコンポーネントに完全に依存しています。コンポーネントによる症状説明。電子メールのメッセージ内容は、インストールされたコンポーネントのうちの一つによって決定されます。したがって、以下に説明のある更新メカニズムによって、そのメッセージ内容が変更される場合があります。結果として、件名、メッセージ内容、及び添付ファイルのファイル名は任意となります。このワームの共通コンポーネントは、感染したコンピュータの言語設定を確認し、それに応じてメッセージを、以下から選択します：英語件名： Snowhite and the Seven Dwarfs - The REAL story! 本文： polite with Snowhite. When they go out work at mornign, they　promissed a huge surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter... フランス語件名： aide 'blanche neige' toutes ces annees apres qu'elle se soit　enfuit de chez 本文： sa belle mere, lui avaient promis une grosse surprise. A 5　heures comme toujours, ils sont rentres du travail. Mais cette fois ils avaient un air coquin... ポルトガル語件名： muito feliz e ansiosa, porque os 7 anoes prometeram uma grande　surpresa. 本文： As cinco horas, os anoezinhos voltaram do trabalho. Mas algo nao　estava bem... Os sete anoezinhos tinham um estranho brilho no　olhar... スペイン語件名： siempre muy bien cuidada por los enanitos. Ellos le prometieron　una grande 本文： sorpresa para su fiesta de complea・・鶤ソ譫緕・鰾繝纈・跛繚癇闔㈲uメ緕蛛迸・琺鉞・?蜴竢逡迸緕・凍淲渼M・w)w)ワームの更新機能も、更新可能なコンポーネントであるため、その方法も変更することができます。現時点では、以下の二つの方法が判明しています。一つは、このワーム作成者が運営していると考えられる Web サイトから、暗号化されたコンポーネントのダウンロードを試みるものです。このサイトは、現在無効にされましたが、別の Web アドレスを持つように、このコンポーネントを更新することができます。もう一つの方法は、現在のプラグインを usenet ニュースグループalt.comp.virus に投函して、このワームの他の感染による投函で、そのプラグインを更新するものです。これらのプラグインは、暗号化されており、どのプラグインをインストールするかをワームが判断するため、 4文字の識別子からなるヘッダと、4文字のバージョンナンバーを持っています。このワームのコンポーネントには、PC 上の .ZIP、及び .RAR アーカイブファイルを探し、見つかると、そのファイル内の .EXE ファイルを検索し、.EX$ に拡張子を変更するものもあります。そして、元のファイル名 .EXEとして、自分自身をそのアーカイブファイルにコピーします。ペイロードのコンポーネントもあり、任意の年の9月24日、あるいは2001年の任意の日にちの毎時59分に、閉じることの困難な、らせん模様の大きな動画を画面の中央に表示します。また、電子メールで送信する前に、ワームに対し、簡単なポリモルフィック型の暗号を適用するコンポーネントもあります。このコンポーネントを更新することによって、このワームの姿を予期できない方法で完全に変え、ウイルス対策製品が検出できないようにすることができます。
VBS/Haptime-Fam	VBS/Haptime ファミリーに属するワームを、VBS/Haptime-Fam という総称で検出します。 VBS/Haptime は、Outlook Express バージョン 5.0 を利用して感染を広げるワームで、拡張子が VBS, HTML, HTM, HTT あるいは ASP のファイルに感染しようとします。また、VBS/Haptime ファミリーに属するワームの大半は、月と日にちの和が13の時（例えば、6月7日）、EXE ファイルと DLL ファイルを削除しようとします。
W32/GOP-A	電子メール送信型で、パスワードを盗む Windows 32 ワームです。このワームは、実行ファイルを隠すように二重拡張子をもっている添付ファイルで電子メールに届きます。例えば .txt.exe、.jpg.exe、.doc.exe。実行されるとワームは、Windows の System ディレクトリに、IMEKernel32.sys と kernelsys32.exe というファイルを作成して、以下のレジストリを追加します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run. このワームは、メールの添付ファイルとして感染を拡大して、ICQ パスワードを盗みます。
JS/Seeker-E	Microsoft セキュリティ情報 MS00-075 に説明のある、セキュリティの脆弱性を利用する悪質なスクリプトです。 Microsoft セキュリティ情報 MS00-075 へのリンクは以下のとおりです。 http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=ms00-075 スタートページや検索の設定など、Internet Explorer の設定を変更して、既存値を上書きしようとします。一般に、新しく設定された値は、アダルトサイトなどを指定するものとなっています。このトロイの木馬は、以下のレジストリ値に値を追加します： HKCU\Software\Microsoft\Internet Explorer
Troj/Download-A	DLDER.EXE と EXPLORER.EXE の2つのファイルより構成されています。 DLDER.EXE は、Windows ディレクトリに、EXPLORER という隠しサブディレクトリを作成します。その後、インターネットよりファイルをダウンロードし、この新しく作成されたサブディレクトリに EXPLORER.EXEとして保存します。また、以下のレジストリに値を追加し、 HKLM\Software\Microsoft\Windows\CurrentVersion\Run システムが再起動するたびに、このダウンロードしたファイルが実行されるようにします。更に、以下のレジストリ値も作成します： HKLM\Software\games\clicktilluwin EXPLORER.EXE は、ユーザーのシステムにセキュリティホールを作成します。ホストの IP アドレス、ブラウザ名、アクセスした URL などの機密情報を、外部の URL に送信します。そして、DLDER を Windows ディレクトリにコピーし、以下のレジストリに値を追加し、 HKLM\Software\Microsoft\Windows\CurrentVersion\Run システムが再起動するたびに、DLDER.EXE が実行されるようにします。したがって、このトロイの木馬は、リモートマシンから、常時 EXPLORER.EXEを更新することが可能です。
W32/Maldal-G	電子メールの添付ファイルとして感染拡大するワームです。メールの件名は、"ZaCker" です。添付ファイル名は、ZaCker.exe です。メールの本文は、以下のリストより任意に選択されます： Test this game I wish u like it I have got this file for you Surprise !!! download this game & have fun ;) desktop maker ,you may need it ;) have you ever got a gift !? What women wants ! Don't waste any time ,Subscribe now Make your pc funny ! new program from my fun groups Map of the world Create your Ecard looooooooooooooooool Send it to everybody you love Its made by me ;) Our symbol If you have an elegant taste Test your mind 1 + 1 = 3 !!! See this file Singer , searsh for any song and sing ;) For everybody wants to marry a woman that he doesn't love ! nowadays , there is no womanhood !! :P Just Try to fix it Keep these advertisements run and earn 0.25 $ per 10 minute ;) 実行されると、ワームは、エラーメッセージに見せかけた偽りメッセージを表示します。偽りメッセージのタイトル：Project1 偽りメッセージの内容：Run time error '71'Object required ワームはその後、 Windows の System フォルダに、自らのコピーをwin.exe として作成し、以下のレジストリ値を追加します：HKLM\Software\Microsoft\Windows\CurrentVersion\run\System これには、コピーして作成されたファイル名が含まれています。また、ワームは、ウイルス対策ソフトや他のセキュリティソフトが使用するファイルを、以下のディレクトリから削除しようとします： Program Files\Zone Labs Program Files\AntiViral Toolkit Pro Program Files\Command Software\F-PROT95 eSafe\Protect PC-Cillin 95 PC-Cillin 97 Program Files\Quick Heal Program Files\FWIN32 Program Files\FindVirus Toolkit\FindVirus f-macro Program Files\McAfeeVirusScan95 Program Files\Norton AntiVirus TBAVW95 VS95 rescue Program Files\Zone Labs また、以下の拡張子を持つファイル削除します： HTM　PHP　HTML　COM　BAT　MDB　XLS　DOC　LNK　PPS　PPT　JPG　MPEG　INI　DAT　ZIP　TXT 最後に、ワームは、感染マシンのコンピュータ名を以下のように変更します： "ZaCker"
W32/Maldal-D	電子メールの添付ファイルとして感染拡大するワームです。メールの件名には、感染マシンのコンピュータ名が、添付ファイル名には、感染コンピュータ名に拡張子 .EXE を追加したものが使用されます。メールの本文は、以下のリストより任意に選択されます： Test this game I wish u like it I have got this file for you Surprise !!! download this game & have fun ;) desktop maker ,you may need it ;) have you ever got a gift !? What women wants ! Don't waste any time ,Subscribe now Make your pc funny ! new program from my fun groups Map of the world Create your Ecard looooooooooooooooool Send it to everybody you love Its made by me ;) Our symbol If you have an elegant taste Test your mind 1 + 1 = 3 !!! See this file Singer , searsh for any song and sing ;) For everybody wants to marry a woman that he doesn't love ! nowadays , there is no womanhood !! :P Just Try to fix it Keep these advertisements run and earn 0.25 $ per 10 minute ;) 実行されると、ワームは、エラーメッセージに見せかけた偽りメッセージを表示します。偽りメッセージのタイトル：Project1 偽りメッセージの内容：Run time error '71'Object required ワームはその後、 Windows の System フォルダに、自らのコピーを win.exeとして作成し、以下のレジストリ値を追加します： HKLM\Software\Microsoft\Windows\CurrentVersion\run\System これには、コピーして作成されたファイル名が含まれています。また、ワームは、ウイルス対策ソフトや他のセキュリティソフトが使用するファイルを、以下のディレクトリから削除しようとします： Program Files\Zone Labs Program Files\AntiViral Toolkit Pro Program Files\Command Software\F-PROT95 eSafe\Protect PC-Cillin 95 PC-Cillin 97 Program Files\Quick Heal Program Files\FWIN32 Program Files\FindVirus Toolkit\FindVirus f-macro Program Files\McAfeeVirusScan95 Program Files\Norton AntiVirus TBAVW95 VS95 rescue Program Files\Zone Labs また、以下の拡張子を持つファイル削除します： HTM　PHP　HTML　COM　BAT　MDB　XLS　DOC　LNK　PPT　JPG　MPEG　INI　DAT　ZIP　TXT 最後に、ワームは、感染マシンのコンピュータ名を以下のように変更します： ZaCker
W32/Shoho-Fam	W32/Shoho ワームファミリーの大半は、以下の特徴を持ちます。 W32/Shoho は、Microsoft セキュリティ情報 MS01-027 （以下のリンクをご参照ください）に説明のある、セキュリティの脆弱性を攻撃して感染を拡大するワームです。この脆弱性により、感染メールをプレビュー表示した際、このワームが実行される場合があります。 Microsoft セキュリティ情報 MS01-027へのリンク http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-027 （上記のセキュリティ情報にあるパッチは、このワームが利用する脆弱性の他、Microsoft 社製品にある複数の脆弱性を修正します。）このワームは、以下の件名を伴ったメールの添付ファイルとして感染を拡大します。 "Welcome to Yahoo! Mail" 添付ファイル名は以下の通りです： "readme.txt<large number of spaces>.pif" 実行されるとワームは、Windows と Windows の System ディレクトリに、自身を Winl0g0n.exe というファイル名でコピーします。また、このワームが使用する電子メールメッセージのコピーを含んだファイル email.txtを作成します。その後ワームは、以下のレジストリ値を作成します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winl0g0n.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Winl0g0n.exe 共に、ワームのコピーのファイル名とパスを含んでおり、これによって、Windows が次回起動される時にワームが確実に実行されます。その後ワームは、自身を送信するためのアドレスを、ハードディスク内で検索します。また、ワームを実行しているディレクトリから、任意にファイルを削除します。なお、マシンを再起動すると、ワームは Windowsディレクトリで実行され、この際、Windows の正常な動作に必要とされるファイルが削除される可能性があります。
VBS/Dismissed-B	VBS/Dismissed-A に類似したウイルスです。 VBS/Dismissed-A のすべての機能とともに VBS/Dismissed-B は電子メールメッセージを送信するルーチンを含んでいます。このウイルスは最初に感染した Web ページから Internet Explorer の数種の脆弱なバージョンでページを開くことにより実行されます。メールルーチンを実行するために、 VBS/Dismissed-B は VB スクリプトのoutlook.vbs をドロップし実行します。その後、スクリプトは Microsoft Outlookを使用して電子メールメッセージを送信しようと試みます。メッセージの件名は「Very important !!!」です。このメッセージ本文には VBS/Dismissed-B ウイルスを含むページを指定するリンクを含んだ内容を含んでいます。
VBS/Dismissed-A	W32/Zacker-C ワームによって指定されたページで最初に発見されたウイルスです。このウイルスはネットワーク共有を使用して感染を拡大し、また mIRC を使用して感染を拡大しようと試みます。このページが脆弱な Internet Explorer を使用してロードされる場合、このページにある JavaScript コードが rol.vbs ファイルをドロップし実行します。この後、ドロップされた VBS ファイルは Internet Explorerのホームページを www.orst.edu/groups/msa/everwonder.swf へ指定するように設定します。その後、数種のアンチウイルス製品に関連したファイルやディレクトリを削除するように試みます。このウイルスは以下の拡張子を持つすべてのファイルへ自身をコピーします。「LNK」、「ZIP」、「JPG」、「JPEG」、「MPG」、「MPEG」、「DOC」、「XLS」、「MDB」、「TXT」、「PPT」、「PPS」、「RAM」、「RM」、「MP3」、「MDB」、「SWF」その後、ファイルに対し拡張子「VBS」を追加します。また、感染したファイルが開かれる度に「HTM」、「HTML」、「ASP」の拡張子を探し出し VBS/Dismissed-B ウイルスを含む Web ページへ接続しようとするコードを伴った行を追加します。最終的にこのウイルスはメッセージボックスを表示し、 Windows をシャットダウンしようとします。
W32/Zacker-C	Microsoft Outlook または Microsoft Messenger を使用して感染を拡大するワームです。メッセージは以下の文字を伴っています。件名： Happy New Year 本文： Hii I can't describe my feelings But all I can say is Happy New Year:) bye 添付ファイル： Christmas.exe このファイルが初めて実行される際に、ワームは自身を Windows ディレクトリへ Christmas.exe としてコピーし、以下のレジストリエントリーを作成します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Zacker =<Windows>\Christmas.exe このエントリーは、 Windows が起動される度に自動的に実行されるようにします。ワームは以下のレジストリキーを設定することによってコンピュータ名を変更します。 HKLM\System\CurrentControlSet\Control\ComputerName\ComputerName\ComputerName = Zacker また以下のレジストリキーを設定することによって既定のブラウザーのホームページを変更し geocity の Web サイトを指定するように変更します。 HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\Start またキーボードを無効にしようとします。
JS/CoolSite-A	Microsoft Security Bulletin MS00-075 に詳述されているセキュリティの脆弱性を攻撃して感染を拡大するワームです。このワームは以下の件名で電子メールに届きます： "Hi!!" 本文 "Hi. I found cool site! http://[omitted] It's really cool!". 埋め込まれたリンクが以下の場合、 Web ページから悪意のあるスクリプトコードがローカルに実行されます。このスクリプトコードはローカルファイルシステムに対するアクセスを取得するために MicrosoftVirtual Machine ActiveX コンポーネントの脆弱性を利用します。その後、このスクリプトは Microsoft Outlook の送信済みフォルダーに残されているメッセージを繰り返します。すべてのメッセージの件名と本文を変更し、メッセージを送信しようと試みます。メッセージが以前、添付ファイルと一緒に送信された場合、この添付ファイルはワームによって再度送信されます。また Internet Explorer のホームページをポルノグラフィックの Web サイトを指定するように設定します。
WM97/Marker-JY	ウイルスファイルは含まれていませんが、C:\himem.sys というファイルを作成します。もしユーザが感染されたドキュメントのマクロにアクセスしようとすると「Configuration error, please reinstall Microsoft Word」というメッセージが表示されます。
VBS/Grate-B	以下の件名を伴ってメールに届きます。 "Merry Christmas!!!" メールの本文は空白です。このワームは greetings.txt.vbs というファイルを添付します。添付ファイルが実行されている際、自分自身を　Windows　の　Cursors　というフォルダへ greetings.txt.vbs をコピーします。次に Outlook を使用して、アドレス帳内の全アドレスへ自身を送信しようとします。その後で、PWL ファイルがポーランドのあるメールアカウントに送られます。
WM97/Marker-JZ	WM97/Marker-C Word マクロウイルスの亜種で破損していますが、実行可能なウイルスです。感染ドキュメントを閉じる際、このウイルスは、ユーザー情報を Word から FTP でCodebreakers (ハッキング関連のグループ）のサイトへ送信します。また、この情報をマクロコードの最後にコメントとして追加します。
W32/Zacker-A	電子メールの添付ファイルとして、LucKey.exeという名前で感染を拡大します。ワームは、以下の件名のメールとして到着します。 "Your Friend <sender address>... Good Luck". 実行されると、ワームは自身のコピーを Windows ディレクトリへ LucKey.exeとしてコピーし、Windows システムディレクトリへ Dallah.exe としてコピーします。 Outlook を使用して、アドレス帳内の全アドレスへ自身を送信しようとします。ワームは、A ドライブへ mallait.exe としてコピーしようとし、ハードドライブにも大量のコピーを以下のファイル名で作成しようとします。 Sharoon<number>.exe Bush<number>.exe ZA-Union<number>.exe BinLaden<number>.exe <number> には 1 から 9999 の数字が使用されます。これにより、ハードドライブ内の空き容量を使い尽くし、システムのパフォーマンスを劣化させます。
W32/Gokar-A	インターネットにより感染を拡大し、Outlook のアドレス帳のアドレスに、自身を電子メールの添付ファイルとして送信します。ワームは、次のメールとして到着します。件名: "If I were God and didn't belive in myself would it be blasphemy" "The A-Team VS KnightRider ... who would win ?" "Just one kiss, will make it better. just one kiss, and we will be alright." "I can't help this longing, comfort me." "And I miss you most of all, my darling ..." "... When autumn leaves start to fall" "It's dark in here, you can feel it all around. The underground." "I will always be with you sometimes black sometimes white ..." 本文: "Happy Birthday Yeah ok, so it's not yours it's mine :) still cause for a celebration though, check out the details I attached" "Hey They say love is blind ... well, the attachment probably proves it. Pretty good either way though, isn't it ?" "You should like this, it could have been made for you speak to you later" 添付ファイルの名前も任意の文字の組み合わせと、拡張子は BAT, COM, EXE,SCR, または PIF mIRC を経由しても感染を広げようとします。ワームを他のmIRC ユーザーへ送りつけるよう、mIRC クライアントの script.ini ファイルを変更します。感染したコンピュータが、Personal Web Server か IIS を使用して、ウェブサーバーとして稼動させていた場合、ワームは自身のコピーを web.exe として C:\inetpub\wwwroot ディレクトリにコピーします。そして、C:\inetpub\wwwroot ディレクトリ内にあるdefault.htm ファイルを上書きします。ワームによって作成されたdefault.htm ファイルは、ウェブサイトを訪問したユーザーのコンピュータへワーム（web.exe）をダウンロードします。また、ワームは自身を Windows ディレクトリへ karen.exe としてコピーし、レジストリを以下のように変更します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Karen =C:\<windows directory>\karen.exe これにより、Windows の起動時にワームが実行されるようになります。
WM97/Footer-Fam	WM97/Footer Word マクロウイルスファミリーの亜種。 WM97/Footer におけるウイルスの大部分は以下の詳細と同様になります。この Word マクロウイルスは開いているすべてのドキュメントに対し、感染したドキュメントのパスやファイル名で既存のフッターがある場合には上書きをし、ない場合には新たにフッターを挿入しようとします。例えば、「C:\My Documents\Confidential\Secret Plans.doc」このペイロードは明らかな危害は加えませんが、システムセキュリティの侵害です。感染したファイルを開いている際、このウイルスは C:\FOOTPRINT.$$$ とC:\FOOTPRINT.$$1 のファイルの中にそのソースコードをアウトプットします。更に、どちらの感染の場合にもこのウイルスはまず、開いているドキュメントにカスタムプロパティ名（custome property name）の「FootPrint」が含まれているかどうかをチェックします。これは、ファイルが既に感染しているかどうかを見分け、再度感染を試みません。このカスタムプロパティ名（FootPrint）が見つからない場合、また一致する値が「True」の場合、ドキュメントに感染します。
WM97/Marker-KA	WM97/Marker Word マクロウイルスファミリーのメンバーです。このウイルスがアクティブになっていると、このウイルスはハードドライブに2つのファイルをドロップします：1つは、 Windows ディレクトリへ EmailMe.html というファイルで、もう1つは、 Windows の Systemディレクトリへ Oeminfo.ini です。このウイルスはワードアプリケーションのユーザー設定を以下のように変更します：ユーザー名 = fs080298 ユーザー頭文字 = FS2000 ユーザーアドレス = fs080298@yeayea.com また、 Windows 情報データを変更します。例えば、Windows の登録された所有者を以下のように変更します。「Hi! It's Me!」また以下の日には、ドキュメントを開いた際に別々のメッセージを表示します： 1月 1日から1月9日までは：「HAPPY NEW YEAR...」 2月27日には：「Happy Birthday Honey...」 6月 8日には：「Today Is My Birthday! ...」 12月15日には：「Happy Birthday, Son...」
W32/Updatr-A	ユーザーのアドレス帳にあるすべての人に自身を電子メールで送ります。電子メールの件名と添付ファイル名は特定されていません。本文は以下のとおりです： Hi: This is the file you ask for, Please save it to disk and open this file, it is very important 始めにワームが実行されると、 Windows ディレクトリへ Update.exeとして自身をコピーし、以下のレジストリを作成します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Update このレジストリエントリーは Windows が起動されるたびに自動的にこのファイルが実行されるように参照します。ワームが実行されるたびに、以下のタイトルでメッセージボックスを表示します。タイトル： File Open Error メッセージ： Cannot Open files: it does not appear to be a valid archive ... また、このワームはスタートアップフォルダーに Update.vbs スクリプトを作成します。このスクリプトは .EXE、 .DOC、 .VBS 拡張子を持つファイルを探します。その後、自身のコピーを同じファイル名と .VBS 拡張子を追加して作成します。例えば、このスクリプトが Frog.exe というファイル名を探し出すと、自身のコピーを Frog.exe.vbs というファイル名で作成します。このウイルスに感染すると月の12日に、このスクリプトは以下のタイトルでメッセージボックスを表示します： I-WORM.IMELDA.B メッセージ： Hi there.., you are infected by some of IWING creations.., have a nice day
W32/Goner-A	このワームは GONE.SCR と呼ばれる添付ファイルとして、電子メールを経由して感染を拡大します。このファイル名は、スクリーンセーバー装うために使用されています。ワームは以下の特徴を持った電子メールとして届けられます件名： Hi 本文： How are you ?　When I saw this screen saver, I immediately thought aboutyou I am in a harry, I promise you will love it! W32/Goner-A は感染したコンピュータ上にインストールされているアンチウイルス製品を無効にしようとします。以下のプロセスを探し出すことにより、実行します： _AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, APLICA32.EXE, AVCONSOL.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPM.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET32.EXE, ESAFE.EXE, FRW.EXE, IAMAPP.EXE IAMSERV.EXE ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, LOCKDOWN2000.EXE, NAVAPW32.EXE, NAVW32.EXE, PCFWallIcon.EXE, TDS2-98.EXE, TDS2-NT.EXE, SAFEWEB.EXE. VSHWIN32.EXE, VSECOMR.EXE, VSSTAT.EXE, WEBSCANX.EXE, ZONEALARM.EXE. このワームが上記プロセスのいずれかを探し出した場合、そのプロセスを停止させるように試みます。また、ワームはこれらの名前のファイルを含んだディレクトリからすべてのファイルを削除しようとします。そして Windows が次回起動した際に残っているファイルをすべて削除するように wininit.ini と呼ばれるファイルを作成します。このワームは C:￥SAFEWEB￥にあるすべてのファイルを削除します。またこのワームは、インターネット・リレー・チャットクライアントである mIRC にも感染します。REMOTE32.INI という名の mIRC スクリプトをmIRC フォルダへ作成し、感染したユーザーが mIRC を使用した時に、作成したファイル内にあるスクリプトをロードするよう MIRC.INI ファイルへセクションを追加します。また、メッセージプログラムである ICQ も感染の手段として使用されます。このワームは gone.scr というファイル名で自身のコピーを Windowsのシステムディレクトリに作成します。このワームは Windows が起動されるたびに毎回実行されるように、このワームのファイル名を含むレジストリキーを以下に作成します。 HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥Run ワームが初めて実行されると、短い画像に続いて偽りのエラーメッセージが表示されます。これは、受け取ったスクリーン・セーバーは本物で、何らかの理由で実行が中断されたと思わせるよう、ファイルを受け取ったユーザーをだますためのものです。
W32/Eira-A	人気のあるコンピュータゲーム Quake のデモを装ったマスメーリングインターネットワームです。 Microsoft Outlook と MAPIを使用して感染を拡大します。ファイルが実行されると、ワームは自身を C:\eiram\quake4demo.exe とF:\quake4demo.exe へコピーします。自身を毎回起動させるために Windowsが起動すると、ワームは「Q4」と「quake」というキーを以下の Windows のレジストリセクションに作成します： HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run この2つのキーはドロップ（作成）されたワームのコピーを指定するようにします。この後、ワームは被害を受けた Outlook のアドレス帳にあるすべての連絡先へ任意に選択された件名と任意に構成された内容で自身を電子メールで送信します。件名は以下のいずれかであると想定されます：「Something very special」「I know you will like this」「Yes, something I can share with you」「Wait till you see this!」「A brand new game! I hope you enjoy it」電子メールの内容は以下より2つまたはそれ以上のフレーズを組み合わせています：「This is something you have to see!」「Till next time」「Is Internet that safe?」「Hey you, take a look at the attached file. You won't believe your eyes when you open it!」「You like games like Quake? You will enjoy this one.」「Did you see the pictures of me and my battery operated boyfriend?」「My best friend」「Check it out」このワームは以下のメッセージを含むテキストファイルで拡張子を OCX、 EXE、XLS、DOC、 MDB、 HTM、 HTML、 TXT のいずれかを使用してファイルを上書きします：「You've didn't protected your files well enough. Let this be a lesson! Never trust someone else eiram (1999-2001)」

SEO		[PR] 爆速!無料ブログ無料ホームページ開設無料ライブ放送