ウイルスサイズ: 29,568 Bytes (.EXE)、26,624 Bytes (.DLL)

発見日: 2004/03/21

詳　細:
　実行されると以下の2つのファイルをWindowsフォルダに作成します：

• FVPROTECT.EXE　　 ：ワームの本体プログラムファイル
• USERCONFIG9X.DLL　：ワームの各種不正活動を収めたDLL
• base64.tmp　　　　：ワームコードをUUENCODE化したもの
• zipped.tmp　　　　：ワームファイルを圧縮したもの
• zip1.tmp　　　　　：UUENCODE化したワームコードを圧縮したもの
• zip2.tmp　　　　　：UUENCODE化したワームコードを圧縮したもの
• zip3.tmp　　　　　：UUENCODE化したワームコードを圧縮したもの

場所：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値　：Norton Antivirus AV = "%Windows%\FVProtect.exe"

・ワーム活動（マスメーリング）：
　このワームは、自身のコピーを電子メールに添付して頒布します。ワームは自身でSMTPの電子メール送信を行う機能を備えているため、Microsoft Outlook 等の一般のメールアプリケーションを使用せずにメールを送信することができます。

　メール送信のために必要なメールサーバの情報は、以下の２つの方法で取得します：

1. Windowsのシステムファイルである"DNSAPI.DLL"の DNSQuery API を利用し、送信先ドメインのデフォルトのメールサーバの情報（MXレコード）を取得します。
2. 上記の方法で取得できなかった場合、"IPHLPAPI.DLL"の GetNetworkParams API を利用してローカルドメインのDNSサーバを特定します。次にクエリーで送信先ドメインのメールサーバ情報を取得します。

• ADB
• ASP
• CGI
• DBX
• DHTM
• DOC
• EML
• HTM
• HTML
• JSP
• MSG
• OFT
• PHP
• PL
• RTF
• SHT
• SHTM
• TBB
• TXT
• UIN
• VBS
• WAB
• WSH
• XML

• reports@
• spam@
• noreply@
• @viruslis
• ntivir
• @sophos
• @freeav
• @pandasof
• @skynet
• @messagel
• abuse@
• @fbi
• @norton
• @f-pro
• @kaspersky
• @mcafee
• @norman
• @bitdefender
• @f-secur
• @avp
• @spam
• @symantec
• @antivi
• @microsof

　ワームの送信する電子メールは以下の複数の候補から選択されるため不定です：

件名： Mail Delivery (failure <受信者のアドレス>)
メール本文： If the message will not displayed automatically,
follow the link to read the delivered message.
Received message is available at:
www.<受信者のドメイン>/inbox/<受信者名>/read.php?sessionid-<ランダムな数字>
添付ファイル：message.scr

件名： （以下のいずれか）
・Re: Mail Authentification
・Re: Delivery Protection
・Re: Secure delivery
・Re: Protected Mail Delivery
・Re: Protected Mail System
・Re: Protected Mail Request
・Re: Secure SMTP Message
・Re: Extended Mail System
・Re: Error
・Re: Message Error
・Re: Administration
・Re: Test
・Re: Thank you for delivery
・Re: Failure
・Re: Bad Request
・Re: Delivery Server
・Re: Mail Server
・Re: SMTP Server
・Re: Notify
・Re: Status
・Re: Extended Mail
・Re: Encrypted Mail

メール本文：（以下のいずれか）
・You have received an extended message. Please read the instructions.New message is available.
・Now a new message is available.
・You got a new message.
・SMTP: Please confirm the attached message.
・Bad Gateway: The message has been attached.
・Protected message is available.
・ Waiting for authentification.
・ Protected message is attached.
・ Please authenticate the secure messagae
・ Follow the instructions to read the message
・ Please read the attachment to get the message
・ Encrypted message is available.
・ Delivered message is attached.
・ Forwarded message is available.
・ Secure Mail System Beta Test.
・ Protected Mail System Test.
・ Your requested mail has been attached.
・ For further details see the attachment
・ For more details see the attachment.
・ First part of the secure mail is available.
・ Waiting for a Response. Please read the attachment.
・ Partial message is available.
・ ESMTP [Secure Mail System #334]: Secure message is attached.
・ Please confirm my request.

添付ファイル： （以下のいずれか）
・message
・msg
・details
・data
・document
・readme

件名： （以下のいずれか）
("Re: " もしくは "Re: Re: "　で始まる)
・here
・hi
・hello
・thanks!
・approved
・corrected
・patched
・improved
・important
・read it immediately

メール本文： （以下のいずれか）
・Please read the attached file!
・Your document is attached.
・Please read the document.
・Your file is attached.
・Your document is attached.
・Please confirm the document.
・Please read the important document.
・See the file.
・Requested file.
・Authentication required.
・Your document is attached to this mail.
・I have attached your document.
・I have received your document. The corrected document is attached.
・Your document.
・Your details.

添付ファイル： （以下のいずれか）
・your
・my
・approved
・important

（以下のいずれかが続く）
・document
・file
・details
・information
・letter
・product
・website
・application
・screensaver
・bill
・word document
・excel document
・data
・message
・text
・document_all

　以下の文面固定の候補を使用する場合もあります：

Email 1

件名： （以下のいずれか）
・Protected Mail System
・Mail Authentication

メール本文：（以下のいずれか）
・Encrypted message is available.
・Protected message is attached.

添付ファイル：（以下のいずれか）
・ pgp_sess01
・ encrypted_msg01
・ document
・ message
・ msg

Email 2

件名： （以下のいずれか）
・Re: Approved document
・Re: Your document

メール本文： （以下のいずれか）
・Please read the attached file.
・Your document is attached.

添付ファイル： （以下のいずれか）
・ file
・ your_document
・ about_you
・ document04
・ msg
・ all_doc01
・ document
・ approved
・ improved
・ corrected

Email 3

件名： （以下のいずれか）
・ Re: Is that your document?
・Is that your password?

メール本文： （以下のいずれか）
・Can you confirm it?
・I have attached it to this mail.

添付ファイル： （以下のいずれか）
・ document
・ pwd02
・ document01
・ part6
・ private_01

Email 4

件名： （以下のいずれか）
・Mail Delivery (failure)
・Error

メール本文： （以下のいずれか）
・Binary message is available.
・Message has been sent as a binary attachment.

添付ファイル： （以下のいずれか）
・message
・ msg
・ data
・ letter
・ email

Email 5

件名： （以下のいずれか）
・Hello
・Hi

メール本文： （以下のいずれか）
・Try this game ;-)
・I hope the patch works.

添付ファイル： （以下のいずれか）
・ game
・ patch3425
・ application
・ software

Email 6

件名： （以下のいずれか）

・Private document
・Stolen document

メール本文： （以下のいずれか）
・I found this document about you.
・I cannot believe that.

添付ファイル： （以下のいずれか）
・ document342
・ your_document
・ about_you

Email 7

件名： （以下のいずれか）
・Re: Hi
・Re: Its me

メール本文： （以下のいずれか）
・The file is protected with the password ghj001.
・I have attached your file. Your password is jkl44563.

添付ファイル： （以下のいずれか）
・ document
・ document43
・ priv
・ letter32
・ data20
・ mails9
・ your_doc
・ my_details

Email 8

件名： （以下のいずれか）
・Mail Account
・Administrator

メール本文： （以下のいずれか）
・Your mail account is expired.
・See the details to reactivate it.
・Your mail account has been closed.
・For further details see the document.

添付ファイル： （以下のいずれか）
・account
・ readme
・ details

Email 9

件名： （以下のいずれか）
・Illegal Website
・Internet Provider Abuse

メール本文： （以下のいずれか）
・I noticed that you have visited illegal websites.
・See the name in the list!
You have visited illegal websites.
I have a big list of the websites you surfed.

添付ファイル： （以下のいずれか）
・ list
・ abuselist
・ judge
・ readme
・ details

Email 10

件名： （以下のいずれか）
・Thank you!
・Congratulations!

メール本文： （以下のいずれか）
・Your bill is attached to this mail.
・You were registered to the pay system.
・For more details see the attachment.

添付ファイル：（以下のいずれか）
・ bill
・ list
・ confirm
・ details

Email 11

件名： （以下のいずれか）
・Re: Sample
・Re: Question

メール本文： （以下のいずれか）
・I have corrected your document.
・I have attached the sample.

添付ファイル： （以下のいずれか）
・ sample01
・ doc01
・ word_doc
・ document04

Email 12

件名： （以下のいずれか）
・Postcard
・Your day メール本文： （以下のいずれか）
・Best wishes,
・your friend.
・Congratulations!,
・your best friend.

添付ファイル： （以下のいずれか）
・ postcard
・ letter

Email 13

件名： （以下のいずれか）
・Re: Old times
・Re: Old photos

メール本文： （以下のいずれか）
・Greetings from france,
・your friend.
Have a look at these.

添付ファイル： （以下のいずれか）
・ old_photos
・ letter

Email 14

件名： （以下のいずれか）
・Re: Submit a Virus Sample
・Re: Virus Sample

メール本文： （以下のいずれか）
・The sample file you sent contains a new virus version of mydoom.j.
Please clean your system with the attached signature.
Sincerly,
Robert Ferrew


The sample file you sent contains a new virus version of buppa.k.
Please update your virus scanner with the attached dat file.
Best Regards,
Keria Reynolds

添付ファイル： （以下のいずれか） signature
・ datfiles

件名： （以下のいずれか）
・Re: Free porn
・Re: Sex pictures

メール本文： （以下のいずれか）
・Here is the website. ;-)
・My favourite page.

添付ファイル： （以下のいずれか）
・ www.freeporn4all
・ www.myx4free

件名： （以下のいずれか）
・Re: Message
・Re: Error in document

メール本文： （以下のいずれか）
・Your important document, correction is finished!
・Important message, do not show this anyone!

添付ファイル： （以下のいずれか）
・ attach
・ document
・ message

件名： （以下のいずれか）
・ Re: Proof of concept
・Re: Developement

メール本文： （以下のいずれか）
・I hope you accept the result!
・The sample is attached!

添付ファイル： （以下のいずれか）
・ document09
・ part_01
・ doc_word3

件名：（以下のいずれか）
・I love you!
・I cannot forget you!

メール本文： （以下のいずれか）
・lovely, :-)
・your big love, ;-)

添付ファイル： （以下のいずれか）
・ letter43
・ story
・ photo

件名： News Information

メール本文： （以下のいずれか）
・Your archive is attached.
・Monthly news report.

添付ファイル： （以下のいずれか）
・ news01
・ info02
・ report01

件名：（以下のいずれか）
・Do you?
・Does it matter?

メール本文：（以下のいずれか）
・Your photo, uahhh.... , you are naked!
You have written a very good text, excellent, good work!

添付ファイル： （以下のいずれか）
・ text01
・ details
・ d4334938

件名： （以下のいずれか）
・Re: A!p$ghsa
・Important m$6h?3p

メール本文： （以下のいずれか）
・Please r564g!he4a56a3haafdogu#mfn3o
・SMTP Error #201
・See the ghg5%&6gfz65!4Hf55d!46gfgf
・Server Error #203

添付ファイル： （以下のいずれか）
・ important
・ details03
・ document07

件名：
メール本文：
添付ファイル： （以下のいずれか）
・ important
・ details
・ message

件名： （以下のいずれか）
・ｯdo0ｯi4grjj40j09gjijgp
・0i09u5rug08r89589gjrg

メール本文： （以下のいずれか）
・po44u90ugjid-k9z5894z0
・9u049u89gh89fsdpokofkdpbm3-4i

添付ファイル： （以下のいずれか）
・id04009
・id43342
・id09509>

件名： （以下のいずれか）
・Spamed?
・Spam

メール本文： （以下のいずれか）
・I have visited this website and I found you in the spammer list. Is that true?
・Are you a spammer? (I found your email on a spammer website!?!)

添付ファイル： （以下のいずれか）
・ websitelist01
・ list_ed
・ abuse_list

件名： （以下のいずれか）
・Re: List
・Re: Question

メール本文：
・Here is my icq list.
Here is my phone number.

添付ファイル： （以下のいずれか）
・ my_list01
・ my_numbers
・ archive

件名： （以下のいずれか）
・Fwd: Warning again
・Notice again

メール本文： （以下のいずれか）
・Do not visit this illegal websites!
・You have downloaded these illegal cracks?.

添付ファイル： （以下のいずれか）
・abuselist
・ abuses
・ websites01

件名：（以下のいずれか）
・hi
・hello

メール本文：（以下のいずれか）
・Try this, or nothing!
・Here is it!

添付ファイル： （以下のいずれか）
・document05
・ game_xxo
・ websites03

件名： （以下のいずれか）
・Shocking document
・You cannot do that!

メール本文： （以下のいずれか）
・I am shocked about your document!
・Let'us be short: you have no experience in writing letters!!!

添付ファイル： （以下のいずれか）
・ document05
・ your_document
・ document_with_notice

件名：（以下のいずれか）
・Re: Order
・Re: Request

メール本文：（以下のいずれか）
・Thank you for your request, your details are attached!
・Thanks!

添付ファイル： （以下のいずれか）
・details05
・ data02
・ all_in_all

件名：（以下のいずれか）
・Re: Hi
・Re: Hello

メール本文：（以下のいずれか）
・Please confirm!
・Please answer quickly!

添付ファイル： （以下のいずれか）
・ detail3
・ document_all02c
・ summary2004

　すべてのメール本文の最後には以下のいずれかが付きます：
・+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com

・+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com

・+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

・+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com

・+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com

・++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com

・++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com

・++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de

　添付ファイルの拡張子は以下の組み合わせになります。：

• Set 1
  • txt
  • doc
  • なし

• Set 2
  • pif
  • exe
  • scr

※ファイル名例："data.txt.scr"、"data.exe"、"data.doc. . . . . . . . .pif"

　また、添付ファイルはランダムな文字列のZIPファイルになる場合もあります。

・セキュリティホールの利用：
　このワームは以下のセキュリティホールを利用して感染活動を行います。セキュリティ対策の面からも以下のマイクロソフト社の説明を参照し、セキュリティホールを修正してください。

• 不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)

　ワームが送信するメールには、既存のWindowsのセキュリティホールを利用してメールを表示した際に添付ファイルが実行されるダイレクトアクション活動を狙ったコードが含まれています。

・ワーム活動（ネットワーク共有）：
　ワームはネットワーク共有フォルダやP2Pファイル共有ソフトなど、ネットワークへの共有フォルダに自身のコピーを作成し、ネットワーク上の他のユーザに自身のコピーを頒布することを狙います。

　ワームはC:～Z:ドライブ内にある以下の文字列を含むフォルダすべてに自身のコピーを作成します：

• shar
• shared files
• kazaa
• mule
• donkey
• morpheus
• lime
• bear
• icq
• shar
• upload
• http
• htdocs
• ftp
• download
• my shared folder

• 1001 Sex and more.rtf.exe
• 3D Studio Max 6 3dsmax.exe
• ACDSee 10.exe
• Adobe Photoshop 10 crack.exe
• Adobe Photoshop 10 full.exe
• Adobe Premiere 10.exe
• Ahead Nero 8.exe
• Altkins Diet.doc.exe
• American Idol.doc.exe
• Arnold Schwarzenegger.jpg.exe
• Best Matrix Screensaver new.scr
• Britney sex xxx.jpg.exe
• Britney Spears and Eminem porn.jpg.exe
• Britney Spears blowjob.jpg.exe
• Britney Spears cumshot.jpg.exe
• Britney Spears fuck.jpg.exe
• Britney Spears full album.mp3.exe
• Britney Spears porn.jpg.exe
• Britney Spears Sexy archive.doc.exe
• Britney Spears Song text archive.doc.exe
• Britney Spears.jpg.exe
• Britney Spears.mp3.exe
• Clone DVD 6.exe
• Cloning.doc.exe
• Cracks & Warez Archiv.exe
• Dark Angels new.pif
• Dictionary English 2004 - France.doc.exe
• DivX 8.0 final.exe
• Doom 3 release 2.exe
• E-Book Archive2.rtf.exe
• Eminem blowjob.jpg.exe
• Eminem full album.mp3.exe
• Eminem Poster.jpg.exe
• Eminem sex xxx.jpg.exe
• Eminem Sexy archive.doc.exe
• Eminem Song text archive.doc.exe
• Eminem Spears porn.jpg.exe
• Eminem.mp3.exe
• Full album all.mp3.pif
• Gimp 1.8 Full with Key.exe
• Harry Potter 1-6 book.txt.exe
• Harry Potter 5.mpg.exe
• Harry Potter all e.book.doc.exe
• Harry Potter e book.doc.exe
• Harry Potter game.exe
• Harry Potter.doc.exe
• How to hack new.doc.exe
• Internet Explorer 9 setup.exe
• Kazaa Lite 4.0 new.exe
• Kazaa new.exe
• Keygen 4 all new.exe
• Learn Programming 2004.doc.exe
• Lightwave 9 Update.exe
• Magix Video Deluxe 5 beta.exe
• Matrix.mpg.exe
• Microsoft Office 2003 Crack best.exe
• Microsoft WinXP Crack full.exe
• MS Service Pack 6.exe
• netsky source code.scr
• Norton Antivirus 2005 beta.exe
• Opera 11.exe
• Partitionsmagic 10 beta.exe
• Porno Screensaver britney.scr
• RFC compilation.doc.exe
• Ringtones.doc.exe
• Ringtones.mp3.exe
• Saddam Hussein.jpg.exe
• Screensaver2.scr
• Serials edition.txt.exe
• Smashing the stack full.rtf.exe
• Star Office 9.exe
• Teen Porn 15.jpg.pif
• The Sims 4 beta.exe
• Ulead Keygen 2004.exe
• Visual Studio Net Crack all.exe
• Win Longhorn re.exe
• WinAmp 13 full.exe
• Windows 2000 Sourcecode.doc.exe
• Windows 2003 crack.exe
• Windows XP crack.exe
• WinXP eBook newest.doc.exe
• XXX hardcore pics.jpg.exe

・レジストリの削除：
　ワームはWindowsのレジストリに以下のキーがあった場合に削除します：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・Explorer
・system.
・msgvr32
・winupd.exe
・direct.exe
・jijbl
・video
・service
・DELETE ME
・Sentry
・Taskmon
・Windows Services Host

HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Run
・Explorer
・au.exe
・direct.exe
・d3dupdate.exe
・OLE
・gouday.exe
・rate.exe
・Taskmon
・Windows Services Host
・sysmon.exe
・srate.exe
・ssate.exe
・winupd.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
・system.
・video

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

・その他：
　・ワームのコードはUPX形式で圧縮されています。

　・ワームは自身が重複して実行されるのを防ぐため、WindowsのMUTEXという仕組みを利用します。ワームは実行されると"'D'r'o'p'p'e'd'S'k'y'N'e't'"というMUTEXを作成します。また、ワームのDLLは"_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_"というMUTEXを作成します。これらのMUTEXが既に存在した場合、重複実行と判断して後から起動されたワームは直ちに終了します。

　・ウイルスコード内に以下の文字列を含みます：

U'l't'i'm'a't'i'v'e'E'n'c'r'y'p't'e'd'W'o'r'm'D'r'o'p'p'e'r''b'y'S
'k'y'N'e't'.'C'Z''C'o'r'p*''D'r'o'p'p'e'd'S'k'y'N'e't''S'k'y'N'e'
t'F'i'g'h't's'B'a'c'k


B+a+g+l+e, d+o+ n+o+t+ d+e+l+e+t+e S+k+y+N+e+t.Y+o+u f+u+c+k+e+d
b+i+t+c+h! W+a+n+n+a g+o i+n+t+o
a p+r+i+s+o+n?W+e a+r+e t+h+e o+n+l+y A+n+t+i+V+i+r+u+s, n+o+t
B+a+g+l+e, s+h+u+t u+p a+n+d
t+a+k+e y+o+u+r b+u+t+t+e+r+f+l+y! -
M+e+s+s+a+g+e f+r+o+m S+k+y+N+e+t A+V T+e+a+m
+L+e+t+s +j+o+i+n +a+n +a+l+l+i-A-n-C-e-,+b+a+g+l+e+!

・参考：

※：＜Windowsフォルダ＞はWindowsの種類とインストール時の設定などにより異なります。標準設定では、

　Windows9x/Me/XP/Server 2003の場合、
　　＜Windowsフォルダ＞＝　C:\Windows
　WindowsNT/2000の場合、
　　＜Windowsフォルダ＞＝　C:\WINNT
　です。

[その他の用語については用語集をご覧ください。]

このウイルスに関しては次の情報も参照してください。
概要
対応方法
感染状況

ウイルスデータベース検索

このウイルス情報に関して. こちらのアンケートにお答えください。