HOME >> 情報セキュリティ >> ウイルス対策 >> 記事

「W32/Zafi」ウイルスの亜種に関する情報

最終更新日:2004年 6月16日
更新履歴

2004年 6月16日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

このウイルスは、メールの添付ファイルを開くことによって感染し、感染したコンピュータから大量のウイルスメールを自動的に送信します。また、P2P(ピアツーピア)ソフトウェアによっても感染します。
下記概要に示すようなメールを受け取った場合は、メールを決して開くことなく、削除して下さい。

なお、このウイルスは6月11日に出現しており、それ以降にワクチンソフトの定義ファイルを更新していないと発見できない可能性が高いので、各ワクチンベンダーのWeb サイトを参照して、最新のウイルス定義ファイルに更新して下さい。

>> ワクチンソフトに関する情報

影響を受けるシステム

Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP、Windows server 2003

概要

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行います。また、KaZaAなどのP2Pソフトウェアを介しても感染を拡げます。

感染すると、ウイルスは自分自身を .exe または .dll の拡張子を持つランダムなファイル名でWindows のsystem ディレクトリにコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。

また、このウイルスは"shar"または"upload"という文字列を含むフォルダ内に自分自身のコピーを作成します。これにより、ファイル共有ネットワークを介して感染を広げます。

メール送信活動:

感染したコンピュータ内のうち、特定の拡張子(.wab, .txt, .htm等)のファイルからメールアドレスを収集して、取得できたアドレス宛にウイルスメールを送信します。

メールの件名、本文、添付ファイル名は、ウイルス自身が持つリストから適当につけられますので、目視でウイルスメールかどうかを判断することは困難です。また、差出人メールアドレスは詐称されますので、知人のメールアドレスであるということだけで添付ファイルを開くことは危険です。また、差出人メールアドレスの方のPCはウイルスに感染していない場合が多いと推測されますので、むやみにウイルスメールの差出人メールアドレスへ苦情のメールを送付することはやめましょう。

  • 件名:ランダム(英語、イタリア語、スペイン語、ロシア語、スウェーデン語等)
    • 例: You`ve got 1 VoiceMessage!
      Don`t worry, be happy!
      Check this out kid!!!
  • 本文:件名に応じた定型文
  • 添付ファイル:.pif、.com、.exe の拡張子を持つファイル

ファイルの上書き:

ウイルス対策ソフト等の実行形式ファイルを自分自身のコピーで上書きし実行できないようにすることで、ウイルス対策ソフト等によるウイルスの発見を妨害します。

プロセスの強制終了:

regedit、msconfig、task の文字列を含むプロセスを強制終了することで、ウイルスの発見と修復作業を妨害します。

対応方法

添付ファイルを開くことなく、そのまま削除して下さい。

最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認して下さい。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」して下さい。

修復方法

感染してしまった場合の修復方法は、ウイルスファイルの削除の他にレジストリ等の修正が必要となります。
手動による修復方法が下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み自己の責任において使用して下さい。

修復ツール提供サイト

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

ウイルス対策のトップページこちらをご覧下さい。

更新履歴

2004年 6月16日 掲載
ページトップへ