|
詳 細:
[ウイルス情報内の用語についてはこちらの用語集をご覧ください。]
・インストール:
実行されると、メモリ常駐型のこのワームは、自身のコピーである "SKYPE32.EXE" を<Windowsフォルダ>※に作成します。
ワームは、作成したファイルがWindows起動時に自動実行されるように以下のレジストリ値を追加し、自身をサービスとして登録します。
場所:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Skype
値:
・ImagePath = "<Windowsフォルダ>\skype32.exe"
・DisplayName = "Skype Messenger"
・ObjectName = "LocalSystem"
ワームは、以下のレジストリ値を改変して、DCOMプロトコルを無効にし、匿名アクセス権を制限します。
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
値(改変前):
EnableDCOM = "Y"
値(改変後):
EnableDCOM = "N"
場所:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
値(改変前):
restrictanonymous = "dword:00000000"
値(改変後):
restrictanonymous = "dword:00000001"
また、以下のレジストリ値を改変してセキュリティセンター機能およびファイアウォール機能を無効にします。
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
値(改変前):
・AntiVirusDisableNotify = "dword:00000000"
・AntiVirusOverride = "dword:00000000"
・FirewallDisableNotify = "dword:00000000"
・FirewallOverride = "dword:00000000"
・UpdatesDisableNotify = "dword:00000000"
値(改変後):
・AntiVirusDisableNotify = "dword:00000001"
・AntiVirusOverride = "dword:00000001"
・FirewallDisableNotify = "dword:00000001"
・FirewallOverride = "dword:00000001"
・UpdatesDisableNotify = "dword:00000001"
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
値(変更前):
EnableFirewall = "<ユーザの設定値>"
値(変更後):
EnableFirewall = "dword:00000000"
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
値(変更前):
EnableFirewall = "<ユーザの設定値>"
値(変更後):
EnableFirewall = "dword:00000000"
(註:上記のレジストリ値は、多くのコンピュータの標準設定では存在しませんが、ユーザによって作成および設定されている場合もあります。その場合のレジストリ値はユーザにより異なります。)
Windows XPの場合、以下のレジストリ値を改変してService Pack 2の自動更新を無効にします。
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
値(改変前):
DoNotAllowXPSP2 = "dword:00000000"
値(改変後):
DoNotAllowXPSP2 = "dword:00000001"
ワームはまた、以下のレジストり値を追加し、管理共有フォルダを無効にします。
場所:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
値:
・AutoShareServer = "dword:00000000"
・AutoShareWks = "dword:00000000"
場所:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
値:
・AutoShareServer = "dword:00000000"
・AutoShareWks = "dword:00000000"
ワームはまた、以下のレジストリ値を改変し、各サービスを無効にします。
セキュリティセンターの無効化:
場所:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
値(改変前):
Start = "dword:00000002"
値(改変後):
Start = "dword:00000004"
リモートレジストリの無効化:
場所:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
値(改変前):
Start = "dword:00000002"
値(改変後):
Start = "dword:00000004"
Telnetサービスの無効化:
場所:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
値(改変前):
Start = "dword:00000003"
値(改変後):
Start = "dword:00000004"
メッセンジャーサービスの無効化:
場所:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger
値(改変前):
Start = "dword:00000002"
値(改変後):
Start = "dword:00000004"
ワームは、以下のレジストリ値を改変し、コンピュータがシャットダウンする前のサービスを停止する時間を短縮します。
場所:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
値(改変前):
WaitToKillServiceTimeout = "20000"
値(改変後):
WaitToKillServiceTimeout = "7000"
・ワーム活動(マスメーリング):
このワームは、自身のコピーを電子メールに添付して頒布します。ワームは自身でSMTPの電子メール送信を行う機能を持っています。
ワームはまた、以下のレジストリキーを検索し、利用可能なSMTPサーバを使用します。
キー:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts
ワームはメール送信のため、ワームはWindowsのアドレス帳(WAB)、<Temporary Internet Files>フォルダ、およびその全てのサブフォルダからメールアドレスを収集します。
また、以下の拡張子を含むファイルからもメールアドレスを収集します。
- ADB
- ASP
- DBX
- HTM
- PHP
- PL
- SHT
- TBB
- WAB
ワームは収集したメールアドレスのドメイン名に、以下のアカウント名を組み合あわせてメールアドレスを作成します。
- accounts
- administrator
- andrew
- brenda
- brent
- brian
- britney
- claudia
- david
- debby
- george
- helen
- james
- jerry
- jimmy
- julie
- kevin
- linda
- lolita
- madmax
- mail
- maria
- michael
- peter
- register
- robert
- sandra
- smith
- steve
ワームは、収集または作成した電子メールアドレスを使ってメールを送信し、送信者詐称します。
ワームは、収集したメールアドレスのドメイン名に以下の文字列を追加したサーバ名をSMTPのメールサーバとみなして使用します。
- gate.
- mail.
- mail1.
- mx.
- mx1.
- mxs.
- ns.
- relay.
- smtp.
ワームは、以下の文字列を含むアドレスにはメール送信しません。
- abuse
- accoun
- admin
- anyone
- certific
- contact
- feste
- gold-certs
- google
- icrosoft
- linux
- listserv
- nobody
- noone
- nothing
- ntivi
- postmaster
- privacy
- rating
- samples
- secur
- service
- somebody
- someone
- submit
- support
- the.bat
- webmaster
また、以下の文字列をドメイン名に含むアドレスにもメール送信しません。
- acketst
- arin.
- berkeley
- borlan
- example
- google
- hotmail
- ibm.com
- icrosof
- inpris
- isc.o
- isi.e
- kernel
- linux
- mit.e
- mozilla
- mydomai
- nodomai
- panda
- rfc-ed
- ripe.
- ruslis
- secur
- sendmail
- sopho
- tanford.e
- usenet
- utgers.ed
ワームが送信するメールの内容は以下の通りです。
件名: (以下のいずれか)
• <不定の文字列>
• *DETECTED* ONLINE USER VIOLATION
• *DETECTED* Online User Violation
• Important Notification
• Notice of account limitation
• Security measures
• Warning Message: Your services near to be closed.
• You have successfully updated your password
• YOU HAVE SUCCESSFULLY UPDATED YOUR PASSWORD
• Your Account is Suspended
• Your Account is Suspended For Security Reasons
• Your new account password is approved
• Your password has been successfully updated
• YOUR PASSWORD HAS BEEN SUCCESSFULLY UPDATED
• Your password has been updated
• YOUR PASSWORD HAS BEEN UPDATED
メッセージ本文: (以下のいずれか)
Dear <ユーザ> Member,
Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
If you choose to ignore our request, you leave us no choice but to cancel your membership.
Virtually yours,
The <感染ネットワークのドメイン名>, Support Team
=====
Dear user <ユーザ>,
It has come to our attention that your <ユーザ>, ( x ) records are out of date. For further details see the attached document.
Thank you for using <感染ネットワークのドメイン名>!
The <感染ネットワークのドメイン名> Support Team
+++ Attachment: No Virus (Clean)
+++ <名称> Antivirus - www.<サフィックスを含むドメイン名>.com
=====
Dear user <ユーザ>,
You have successfully updated the password of your <感染ネットワークのドメイン名> account.
If you did not authorize this change or if you need assistance with your account, please contact customer service at: <感染ユーザの電子メールアドレス>
Thank you for using <感染ネットワークのドメイン名>!
The <感染ネットワークのドメイン名> Support Team
+++ Attachment: No Virus (Clean)
+++ <感染ネットワークのドメイン名> Antivirus - www.<サフィックスを含むドメイン名>
=====
Dear <ユーザプロフィール> Member,
We have temporarily suspended your email account <感染ユーザの電子メールアドレス>
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e. change of address).
2. Submiting invalid information during the initial sign up process.
3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
See the details to reactivate your <感染ネットワークのドメイン名> account.
Sincerely,The <感染ネットワークのドメイン名> Support Team
+++ Attachment: No Virus (Clean)
+++ <感染ネットワークのドメイン名>Antivirus www.<サフィックスを含むドメイン名>
添付ファイル: (以下のいずれか)
• <不定のファイル名>.zip
• account-details.zip
• account-info.zip
• account-password.zip
• account-report.zip
• approved-password.zip
• document.zip
• email-details.zip
• email-password.zip
• important-details.zip
• new-password.zip
• password.zip
• updated-password.zip
ワームが電子メールに添付して送信するZIPファイルは、自身のコピーを含んでおり、二重拡張子が付いています。最初の拡張子は以下のいずれかです。
二つ目の拡張子は以下のいずれかになります。
・ワーム活動(ネットワーク感染):
ワームはまた、ネットワーク共有フォルダを介して自身を頒布します。ワームは、ログインしているユーザのアカウントを使用して、自身のコピーをネットワーク共有フォルダに作成します。ワームはまた、共有フォルダに侵入するために、ランダムなIPアドレスを作成します。
・セキュリティホールの利用:
このワームは以下のセキュリティホールを利用して感染活動を行います。セキュリティ対策の面からも以下のマイクロソフト社の説明を参照し、セキュリティホールを修正してください。
・他の不正プログラムを作成:
ワームはまた、<Windowsシステムフォルダ>※内に、"ROFL.SYS" というファイルを作成します。トレンドマイクロ製品ではこれを、「TROJ_ROOTKIT.AE」として検出します。このファイルは、ワームが自身のプロセスを隠匿するために使用します。
・バックドア活動:
このワームはバックドアの機能も備えています。ワームは複数のポートを開いてIRCチャンネルに参加します。このIRCチャンネルを介して、不正リモートユーザはコマンドを実行することが可能となります。それにより不正リモートユーザは下記の動作が可能です。
- ファイルのダウンロードおよび実行
- IRCコマンドの実行
- システムの再起動
ワームはまた、ランダムなポートを使用して感染コンピュータをFTPサーバとして設定します。これにより、不正リモートユーザは感染コンピュータ上で、ユーザに知られることなく、ファイルのダウンロードやアップロードが可能となります。
・参考:
※:<Windowsフォルダ>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows9x/Me/XP/Server 2003の場合、
<Windowsフォルダ>= C:\Windows
WindowsNT/2000の場合、
<Windowsフォルダ>= C:\WINNT
です。
※:<Windowsシステムフォルダ>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows 95/98/Me の場合
<Windowsシステムフォルダ> = C:\Windows\System
Windows NT/2000 の場合
<Windowsシステムフォルダ> = C:\WinNT\System32
Windows XP/Server 2003 の場合
<Windowsシステムフォルダ> = C:\Windows\System32
です。
[その他の用語については用語集をご覧ください。]
更新履歴:
このウイルスに関しては次の情報も参照してください。
概要
対応方法
感染状況
ウイルスデータベース検索
このウイルス情報に関して. こちらのアンケートにお答えください。
|
