Microsoftからのメールを装い大量メール配信などを行なうウイルス

■URL
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.mankx@mm.html
http://www.nai.com/japan/virusinfo/virPQ.asp?v=W32/Palyh@MM

編集部に届いた「W32.HLLW.Mankx@mm」その1。一見、拡張子は通常の「.pif」ファイルと変わらない

編集部に届いた「W32.HLLW.Mankx@mm」その2。その1と比較して添付ファイル名や件名が異なっているが、本文や差出人アドレスは同じだ

　シマンテック株式会社や日本ネットワークアソシエイツ株式会社（NAC）は18日、Microsoftからのメールを装い大量メール配信やレジストリの改変などを行なうウイルス「W32.HLLW.Mankx@mm（NACではW32/Palyh@MM）」を警告した。

　Mankxは、感染したPC中から発見したメールアドレスに対して、自分自身を大量に送信するウイルス。差出人のメールアドレスを詐称している点や、件名に「Re: Movie」を利用する点、添付ファイルの拡張子が「.pif」の点などが、2003年1月に発見されたウイルス「Sobig」に似ている。

　Mankxに感染すると、まず自分自身のコピーを作成し、レジストリの改変を行なう。次に感染したPCの拡張子が「.wab」「.dbx」「.htm」「.html」「.eml」「.txt」のファイルの中から発見した全メールアドレスに対して自分自身をコピーしたメールを送信する。送信の際の、差出人メールアドレスや、件名、添付ファイルは以下の通り。

差出人:

support@microsoft.com

件名:

• Your details
• Approved (Ref: 38446-263)
• Re: Approved (Ref: 3394-65467)
• Your password
• Re: My details
• Screensaver
• Cool screensaver
• Re: Movie
• Re: My application

添付ファイル:

拡張子「.pif」のファイル

　また、Mankxは共有ファイル上に自分自身をコピーすることによって、ネットワーク上での感染活動も行なう。ただし、このウイルスは2003年5月31日で活動を停止されるようにプログラムされているという。

　万が一感染した場合は、ウイルス対策プログラムでウイルス検索を行ない、「W32.HLLW.Mankx@mmもしくはW32/Palyh@MM」で検出したファイルや感染後ウイルスによって作成されたフォルダーなどをすべて削除し、その後レジストリを修正しなければならない。

◎関連記事
■サブジェクト欄が「Re: Movies」や「Re: Document」のウィルスに注意

(2003/5/19)

[Reported by otsu-j@impress.co.jp]