ウイルス情報

ザフィ・D

( Worm.Zafi.D )

メール添付ファイルから感染する［メール無断送信］ワーム

別名＿：

W32.Erkez.D@mm、WORM_ZAFI.D@mm、W32/Zafi.d@MM

更新日：

2004年12月14日(火)

■感染したらどうなる

• 偽の英語のエラーメッセージが表示され、ウイルス対策ソフトが正常に動作しなかったり、ネットワークのトラフィックが発生します。また、パソコンの動作が不安定になった場合には要注意です。

■感染しないためには

• メールに添付された添付ファイルをむやみに実行しないようにしてください。
  拡張子は「.bat、.cmd、.com 、.pif 、.zip」です。詳しくは「詳細情報」をご覧ください。

■どうすれば直る

• 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。

■詳細情報

• 送信されるメールの形式は以下の通りですのでご注意ください。
  差出人：感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
  件名:以下のいずれかの可能性があります。
  Merry Christmas!
  boldog karacsony...
  Feliz Navidad!
  ecard.ru
  Christmas Kort!
  Christmas Vykort!
  Christmas Postkort!
  Christmas postikorti!
  Christmas - Kartki!
  Weihnachten card.
  Prettige Kerstdagen!
  Christmas pohlednice
  Joyeux Noel!
  Buon Natale!
  
  本文:以下のいずれかの可能性があります。
  -------------------
  Happy HollyDays!
  :) [Recipient]
  -------------------
  Kellemes Unnepeket!
  :) [Recipient]
  -------------------
  Feliz Navidad!
  :) [Recipient]
  -------------------
  :) [Recipient]
  -------------------
  Glaedelig Jul!
  :) [Recipient]
  -------------------
  God Jul!
  :) [Recipient]
  -------------------
  God Jul!
  :) [Recipient]
  -------------------
  Iloista Joulua!
  :) [Recipient]
  -------------------
  Naulieji Metai!
  :) [Recipient]
  -------------------
  Wesolych Swiat!
  :) [Recipient]
  -------------------
  Frohliche Weihnachten!
  :) [Recipient]
  -------------------
  Prettige Kerstdagen!
  :) [Recipient]
  -------------------
  Vesele Vanoce!
  :) [Recipient]
  -------------------
  Joyeux Noel!
  :) [Recipient]
  -------------------
  Buon Natale!
  :) [Recipient]
  -------------------
  
  添付ファイル：以下の拡張子の可能性があります。
  .bat
  .cmd
  .com
  .pif
  .zip
  
• レジストリの値を作成
  添付ファイルを実行すると、偽の英語のメッセージが表示され、ワームがシステムディレクトリに自分自身をコピーし、以下のレジストリを作成します。
  ---------------------------------
  タイトル: CRC: 04F7Bh
  メッセージ: Error in packed file!
  ---------------------------------
  
  以下にファイルをコピーします。
  %System%\ .EXE
  %System%\
  %System%\Norton Update.exe
  %System%\ .DLL
  C:\s.cm
  
  同じ場所に以下が作成されます。
  %System%\<8文字のランダムな文字列>.dll
  
  システム起動時にウイルスが実行されるように、レジストリの値を作成します。
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  "Wxp4" = "%System%\Norton Update.exe"
  
  ワームの情報を保持するために、以下のレジストリを作成します。
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
  
  %System%は、システムディレクトリです。
  
• 大量メール送信
  このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
  htm
  wab
  txt
  dbx
  tbb
  asp
  php
  sht
  adb
  mbx
  eml
  pmr
  fpt
  inb
  
  以下の文字列を含むアドレスには送信しません。
  yaho
  google
  win
  use
  info
  help
  admi
  ebm
  micro
  msn
  hotm
  suppor
  syman
  viru
  trend
  secur
  panda
  cafee
  sopho
  kasper
  
• ファイル共有ソフトでの繁殖
  Cドライブ上の以下の文字列を含むディレクトリに自分自身をコピーします。
  share
  upload
  music
  
  ファイル名は以下になります。
  winamp 5.7 new!.exe
  ICQ 2005a new!.exe
  
• 以下の文字列を含むプログラムを強制終了します。
  reged
  msconfig
  task
  
• 不正アクセスの許可
  このウイルスに感染すると、TCPポート8181番が開かれ、不正なアクセスを許可してしまいます。
  
• ファイアウォールやアンチウイルスなどのウイルス対策ソフトを停止しようとします。