■ |
このウイルスが感染したメールには、以下のような文章が本文に含まれていたり、件名が付けられていたりします。(未記入の状態の場合もあります。) |
|
|
本文:
"Hi, Hello, Re: Fw: Undeliverable mail-- Returned
mail-- game a tool a website new funny nice humour excite
good powful WinXP IE 6.0 W32.Elkern W32.Klez how are you
let's be friends darling don't drink too much your password
honey some questions please try again welcome to my hometown
the Garden of Eden introduction on ADSL meeting notice
question naire congratulations sos! japanese girl VS playboy
look, my beautiful girlfriend eager to see you spice girls'
vocal concert japanese lass' sexy pictures Symantec Mcafee
F-Secure Sophos The following mail can't be sent to The
attachment The file is the original mail give you the
is a dangerous virus that can infect on Win98/Me/2000/XP.
spread through email. very special For more information,please
visit This is I you would it. enjoy like wish hope expect
Christmas New year Saint Valentine's Day Allhallowmas
April Fools' Day Lady Day Assumption Candlemas All Souls'Day
Epiphany Happy Have a"
件名:Document End
件名:Happy Lady Day
件名:From
件名:Eager to see you
件名:Returned mail--"Document End "
件名:HEIGHT
件名:A WinXP patch
件名:Hi,spice girls' vocal concert
件名:Happy nice Lady Day 件名:Have a humour Lady Day
件名:Happy good Lady Day
件名:ALIGN
件名:Have a good Lady Day
件名:Undeliverable mail--"IIS services with
this Web administration tool." |
|
■ |
感染の特徴 |
|
|
・\WINDOWS\SYSTEMフォルダに、WINKxxx.EXEというファイルが存在する。(xxxはランダムに決定)
例: WINKIDT.EXEやWINKKR.EXEなど
・レジストリに以下の書き込みがある。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
または、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
・拡張子が「.exe」のファイルと同じサイズの別の拡張子が付いている同名の隠しファイルが存在する。
例: MSOFFICE.exeの他に、MSOFFICE.hrhという隠しファイルが存在する
また、感染したファイルを実行した場合、名前に「~1」の入った一時ファイルが作成されます。
例: NETSCAPE.exeの他に、NETSCAPE.pxbという隠しファイルが存在し、さらに、NETSCA~1.exeというNETSCAPE.exeと同じサイズのファイルが存在する(このファイルは、プログラムの終了時に、自動的に削除されます)
※「隠しファイル」を表示させるには、エクスプローラの[ツール]-[フォルダ
オプション]を選択して、[表示]タブをクリックし、「すべてのファイルとフォルダを表示する」を選択してください。 |
|
■ |
このウイルスは、自ら感染活動を行うだけでなく、W95/Elkern.cav.bというウイルスを感染させることができます。 |
|
■ |
このウィルスは、3月、5月、9月、11月の6日に、感染しているパソコンおよび共有ネットワークにあるファイルの拡張子をゼロで上書きしてしまう危険があります。影響のある拡張子は次の通りです。 |
|
|
.txt、.htm、.html、.wab、.doc、.xls、.jpg、.cpp、.c、.pas、.mpg、.mpeg、.bak、.mp3
※1月または7月の場合は、すべてのファイルが上書きされる可能性がありましたが、試験を行った結果、そのような症状は見られませんでした。 |