|
詳 細:
このワームは通常"NAVIDAD.EXE"のファイル名でメールに添付されてきますが、別ファイル名でも動作しますので注意が必要です。
起動されると、以下の内容のメッセージボックスを表示して終了します。
タイトル:"Error"
本文: "UI"
ユーザーがこのメッセージを閉じるとタスクバーに青い目のアイコンの形で常駐したことを示します。
次に自身のコピーをWindowsのシステムディレクトリ(デフォルトではWindows9xがc:\Windows\system、WindowsNTがc:\Winnt\System32)に"WINSVRC.VXD"というファイル名で作成します。そして以下の2つのレジストリキーを追加します。
1)場所: HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\Currentversion\Run
値: Win32BaseServiceMOD = <システムディレクトリのパス>\WINSVRC.EXE
2)場所: HKEY_CLASSES_ROOT\exefile\shell\open\command
値: (Default) = "<システムディレクトリのパス>\WINSVRC.EXE "%1" %*"
1)の設定によりシステム起動毎にワームが自動実行されることを意図しているようですが、実際に作成されているファイルは"WINSVRC.EXE"ではなく"WINSVRC.VXD"であるため実行はされません。
2)の設定により.EXEファイルの実行にワームを関連付けし、ファイル実行時にもワームが自動起動されることを意図しているようです。しかし、WINSVRC.EXEは存在しないため、すべての.EXE形式のプログラムファイルを実行しようとすると、WINSVRC.EXEがみつからないというOSからのエラーメッセージが表示されます。
ワームは該当レジストリの値を確認し、自分が起動されたマシンにWindowsのメッセージングサブシステムがインストールされているか調べます。インストールされていればワーム活動を行います。ワームはOutlook97/98/2000、Outlook Expressなど、WindowsのMAPIを使用するメーラーの受信トレイ(INBOX)に存在する添付ファイルがついたメール(対象となるのは添付ファイルの数が1つの場合のみ)に対してメールを送信します。ワームが送信するメールには”NAVIDAD.EXE"のファイル名でワーム自身のコピーが添付されます。
返信メールが送られる場合、TOにかかれているメールアドレスに対して送信します。
Fromのアドレスには送信されません。
このウイルスに関しては次の情報も参照してください。
概要
対応方法
感染状況
ウイルスデータベース検索
このウイルス情報に関して. こちらのアンケートにお答えください。
|
