ウイルス・BOX W32/Myparty@MM 件名：　new photos from my party!　本文：　Hello!で始まる　ＭｙＰａｒｔｙは、メール大量送信型ワームです。バックドアプログラムを落とし込んでシステムを脆弱化させます。 感染してしまった場合は、 （１） ＯＣＮ　On-lineウイルスチェックでチェック！ ＯＣＮダイヤルアクセスおよびOCN ADSLアクセスの契約者の方は、無料で駆除してくれるＯＣＮのサービスを利用しましょう。 ＯＣＮのオンラインスキャン・サービス（既にパソコン内にあるウイルスの検知・駆除ができます。） （２） ワクチンメーカの定義を更新して対処をしましょう。 W32/Myparty@MM 種別 ウイルス 危険度 中 主な発病 メール大量送信 別名 　 情報掲載日 02/01/28 発見日 02/01/27 （USA DATE） 特長 大量メール送信型のワームで、W32/Myparty@MMは、WindowsNT/2K/XPにトロイの木馬ウィルス（BackDoor-AAF）を落とし込みます。 最新のワクチンソフトの定義ファイルを更新していないと発見・駆除ができないことがあります。 各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。 特長（２） こんなメールは、注意！ 件名 　new photos from my party! 本文 　Hello! 　My party... It was absolutely amazing! 　I have attached my web page with new photos! 　If you can please make color prints of my photos. Thanks! 添付ファイル www.myparty.yahoo.com (29,696バイトのPE型実行ファイル) 実行時の特徴 この添付ファイル名は、URLの".COM"と実行ファイル拡張子".COM"が共通であるという点を利用して、クリックすると『　Yahoo　』サイトに行くと思わせようとしています。 実際にはＥ-mailクライアントはこの添付ファイルは.comの拡張子の実行ファイルで、URLではありません。実行するとローカルマシンを感染します。 ●Windows9x/ME ２００２年１月２５日から２９日の間だと、 C:\Recycled\regctrl.exe にこのウィルス自身をコピーして、実行します。 ●WinNT/2K/XP ２００２年１月２５日から２９日の間だと、C:\Recycledに拡張子なしのF-[ランダムな数字]-[ランダムな数字]-[ランダムな数字] というファイル名をつけて、ワーム自身を保存。 ２００２年１月２５日から２９日の間だと、 C:\regctrl.exe　にワーム自身をコピーし、スタートアップフォルダにトロイの木馬ウィルスのMSSTASK.EXEを追加します。１回実行されると、スタートアップから削除されます。実行ファイルがACCESSだと、www.disney.comのサイトに行きます。 　 このウィルスがメールを大量送信するのは２００２年１月２５日から２９日の間だけです（２５、２９日を含む）。ユーザーのデフォルトSMTPサーバをレジストリから探し出します。 HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001 Windows Address Book や.DBXファイルから探し出したアドレス全てにウィルス自身を送信。 【症状の確認】バックドアが落とし込まれている可能性としては、 �@C:\RECYCLED\REGCTRL.EXEが存在。（DOSプロンプトからは、見られるが、Windowsからは見られない） �AC:\REGCTRL.EXE が存在。 �B%userprofile%\Start Menu\Programs\Startup\msstask.exe が存在。 参考サイト：　情報処理振興事業協会 セキュリティセンター(IPA/ISEC)