|
詳 細:
ワームが実行されるとメモリに常駐し、実行された自身のファイルを削除します。つまり、ユーザーからは実行したファイルが消えてしまったように見えます。
その裏でワームは以下のファイルを作成します:
・C:ドライブのルートディレクトリ:
"ALEVIR.DAT"、"ALESOUT.DAT"
・Windowsフォルダ:
"Alevir.exe"
上記のファイルのうち、"Alevir.exe"はワームのコピーです。"ALEVIR.DAT"、"ALESOUT.DAT"はハッカーサイトとの通信に使用されるデータファイルです。
そしてWindowsのレジストリに以下の値を追加します:
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:Alevir = <Windowsフォルダ>\Alevir.exe
これによって次回以降のシステム起動時にワームが自動実行されるよう設定されます。
その他、以下の活動を行います
・ハッキングツール活動:
ワームはネットワーク上を検索し、アクセス可能なすべてのコンピューター名とドメイン名を収集して予め定められたハッカーサイト(危険を避けるためURLは特に秘します)に送信します。
また、同様にハッカーサイトからなんらかのファイルをダウンロードして実行する活動も行います。
現在のところワームに設定されているハッカーサイトは稼動していないため、これらの活動は行われません。ただし、活動が再開される可能性もありますのでご注意ください。
・ワーム活動:
ワームは侵入したコンピューターの所属するドメイン内を検索し、共有ドライブから<Windowsフォルダ>※
を探します。ワームはこの検索のためにSMBプロトコルを使用します。
<Windowsフォルダ>※
が存在した場合、ワームは自身のコピーの頒布とシステム改変を試みます。共有されているドライブ内の<Windowsフォルダ>※
に"Alevir.exe"のファイル名で自身のコピーを作成して頒布します。
また同時にWindowsの設定ファイルである"WIN.INI"を"PUT.INI"の名称でコピーし、"RUN="の項目に"Alevir.exe"の記述を追加します:
例:
"RUN = <Windowsフォルダ>\Alevir.exe"
この修正後、"PUT.INI"の内容を"WIN.INI"にコピーします。つまり、結果的にはワーム活動の対象となったコンピューターの"WIN.INI"内に上記の記述が追加されることになります。これによって、ワーム活動の対象のコンピューターのOSがWindows9x/Meであった場合、再起動するとワームが自動的に実行されることになります。
・セキュリティホールの利用:
ワームはWindows9x/Meのセキュリティホールを利用してパスワードが設定されている共有リソースに対してもワーム活動が行える場合があります。セキュリティ対策の面からも以下のマイクロソフト社の説明を参照し、セキュリティホールを修正してください。
「共有レベルのパスワード」の脆弱性に対する対策 (MS00-072)」
・参考:
※:<Windowsフォルダ>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows9x/Me/XP/Server 2003の場合、
<Windowsフォルダ>= C:\Windows
WindowsNT/2000の場合、
<Windowsフォルダ>= C:\WINNT
です。
[その他の用語については用語集をご覧ください。]
このウイルスに関しては次の情報も参照してください。
概要
対応方法
感染状況
ウイルスデータベース検索
このウイルス情報に関して. こちらのアンケートにお答えください。
|
