ウイルス情報  製品紹介  無料ダウンロード  セキュリティBOX  サポート情報 
W32/Fizzer@MM(フィザー)

種別 : インターネットワーム
危険度 :
主な発病 : 大量メール送信
発見日時 : 2003年5月8日
McAfee.com ウイルススキャンオンライン」で検出可能。
無料駆除ツール「スティンガー」で駆除可能。ダウンロ−ドはこちらから 。


W32/Fizzer@MMウイルスとは?
W32/Fizzer@MMウイルスは大量メール送信型ウイルスです。eメールの添付ファイルで送られてきます。タイマーを内蔵しており、時間によって大量メールを送信したりウイルス対策ソフトを停止させたりします。

感染した場合の症状
パソコン内のアドレス帳に登録されているすべてのeメールアドレス宛てにウイルスメールが勝手に送信されます。
ウイルス対策ソフトが停止します。

対処方法
「McAfee.com ウイルススキャンオンライン」は、すでにこのウイルスに対応済みです。アップデートがお済みでない方は、すみやかにアップデートしてください。

【アップデート方法】
1. 画面右下のタスクトレイのアイコンをダブルクリックし、「McAfee.com セキュリティ・センター」を起動します。
2. 画面上の[アップデート]ボタンをクリックします。
3. 次の画面の[今すぐ確認する]をクリックします。
4. アップデートがお済みでない場合は、アップデートを開始する画面が表示されます。画面の指示に従ってアップデート操作を行なってください。アップデートがお済みの場合には「ご使用のMcAfee.com製品は、すべて最新です」と表示されます。
  ※スキャンエンジン4.1.60以上、ウイルス定義ファイル4.0.4263以上でこのウイルスを検出できます。 
    バージョン情報の確認方法はこちら
すでに感染してしまった方は、無料ウイルス駆除ツール「スティンガー」で駆除することができます。
駆除方法はこちらをご覧ください。

ウイルス詳細情報
このウイルスは、eメールメッセージの添付ファイルとして送られてきます。送信者のアドレスは偽造されます。eメールの本文、件名、添付ファイル名はさまざまです。添付ファイルには、標準的な実行ファイルの拡張子 .com、.exe、.pif、および.scrが使用されます。
 
送信されるeメールメッセージの例:

件名: why?
本文:The peace
添付ファイル:desktop.scr

件名:Re: You might not appreciate this...
本文:lautlach
添付ファイル:service.scr

件名:Re: how are you?
本文:I sent this program (Sparky) from anonymous places on the net
添付ファイル:Jesse20.exe

件名:Fwd: Mariss995
本文:There is only one good, knowledge, and one evil, ignorance.
添付ファイル:Mariss995.exe

件名:Re: The way I feel - Remy Shand
本文:Nein
添付ファイル:Jordan6.pif
 
添付ファイルを実行すると、WINDOWS (%WinDir%)ディレクトリに以下の複数のファイルが作成されます。
 
initbak.dat
iservc.exe
ProgOp.exe
iservc.dll
 
このウイルスは、以下のレジストリ実行キーを作成して、システムの起動時にウイルスのコピーを読み込みます。
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "SystemInit" = C:\WINDOWS\ISERVC.EXE

また、レジストリを改変して、拡張子が .TXTファイルにアクセスするとワームを実行するようにします。
HKEY_CLASSES_ROOT\txtfile\shell\open\command
"(デフォルト)" = C:\WINDOWS\ProgOp.exe 0 7 'C:\WINDOWS\NOTEPAD.EXE %1'
'C:\WINDOWS\initbak.dat' 'C:\WINDOWS\ISERVC.EXE'

この改変に関連して、以下の新しいCLASS ROOT(クラスルート)キーを作成します。
HKEY_CLASSES_ROOT\Applications\ProgOp.exe
 
大量メール送信
 
パソコン内のアドレス帳に登録されているすべてのeメールアドレス、およびランダムに作成したeメールアドレス宛てにウイルスのコピーを送信します。また、ランダムな名前や数字に以下のドメイン名を組み合わせてウイルスのコピーを送信します。

ドメイン名:
aol.com
earthlink.com
gte.net
hotmail.com
juno.com
msn.com
netzero.com
yahoo.com
 
IRC(Internet Relay Chat )接続
 
このワームは、以下のさまざまなIRCサーバーにpingを実行します。返信を受け取ると、内部のリストにある、さまざまなユーザー名でIRCチャネルに接続します。

irc2p2pchat.net
irc.idigital-web.com
irc.cyberchat.org
irc.othernet.org
irc.beyondirc.net
irc.chatx.net
irc.cyberarmy.com
irc.gameslink.net
 
AIMボット(AOL Instant Messenger)
 
このワームはAIMサイトに接続し、ランダムに選択した名前で新規ユーザー登録を行ないます。それからポート5190のAIMチャットサーバーに接続し、さらにメッセージを待ち受けます。
 
自動アップデート
 
"geocities"内の任意のWebサイトに接続して、ウイルスのダウンロードアップデートを実行することができます。
 
キーストロークの記録
 
キーストロークをキャプチャし、%windir%フォルダ内の「iservc.klg」という名前の暗号化ファイルに保存します。
 
KaZaaワーム
 
レジストリからKaZaa用のデフォルトのダウンロードフォルダを読み込み、ランダムに選択した名前でウイルスをコピーします。
 
HTTPサーバー
 
設定済みのポート上のHTTPサーバーで起動します。このwebサーバーはコマンドコンソールとして作動し、感染システムの情報(システム時間、接続情報、OSバージョン、IRC、AIM情報)を表示します。また、攻撃者に対して、サービス拒否攻撃やAOL検索コマンド、ウイルス対策ソフトの終了といった処理を実行することを許可します。
 
リモートアクセスサーバー
 
設定済みTCPポートを聴取し、リモートコンソールを作成します。
 
ウイルス対策ソフトの終了
 
名前に以下の文字列が含まれるプロセスを終了します。
ANTIV
AVP
F-PROT
NMAIN
SCAN
TASKM
VIRUS
VSHW
VSS

Copyright (C) SOURCENEXT CORPORATION All Rights Reserved.