| 対応定義ファイル |
NOD32アンチウイルスはこのワームをヒューリスティックにより検出しました。定義ファイルバージョン
1.419(20030528) 以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■事前ウイルス概要 (
後日、詳細情報を公開予定 )
Win32/holar.hはマスメーリング(大量のメールを送信する)ワームです。ESET社はPST(太平洋標準時)2003/05/28
午前0時ごろにこのワームの感染拡大に関する第一報を受けました。このワームはかなり悪意のあるペイロードを持っており、ある条件のもとではCドライブにある全てのファイルを削除し、さらにシステムをシャットダウンさせます。
このワームは、ワームに感染した電子メールの添付ファイルに含まれており、ワームが起動すると以下のファイルを“システム”ディレクトリに作成します。
explore.exe : ワームのメインコンポーネント
smtp.ocx : COM形式で、SMTP経由の通信を仲介するために必要なコンポ-ネント
またこのワームはKazaa*経由で感染を拡大させるために、自身のコピーを数多く作成します。
*Kazaaは、ネットワーク共有ソフトウェアで、ファイル共有やIRCなどが利用できます。
ワームは活動を開始するために、以下のようにRunキーにメインコンポーネント(explore.exe)を登録します。
" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\Explore "
そして、ワームに感染した電子メールを送信する新たな電子メールアドレスを発見するために以下の拡張子を持ったファイルを検索します。
" .htm"
"
.html"
"
.txt"
"
.dbx"
感染した電子メールの件名欄は、膨大な数の件名の選択肢から選択されます。(以下をご参照ください)この電子メールの本文もまた、非常に多種多様となっています。電子メールの例を以下に記載します。(注;最初の行は電子メールの件名を表示しています)
例1
" '''*< Love Speaks it all >*'''"
" Hii"
" Try this great program allowing u to translate 100 languages . " "just
write a passage in english and chose a language to get the traslation " "one
of my friends used it with his arabian gf and it worked successfully ;)" "so
, Now we can say ' Love Speaks it All ' :) "
例2
" Co0o0o0o0oL"
" i thing the subject is enough to describe the attached file !" "check
it out and replay your opinion" "Cya"
例3
" Fw:"
" You're gonna love it ;)"
" delete it after reading , Professor :P"
例4
" Heeeeeeeeeeeeeeeey"
" i've got this surprise from a friend :)"
" it really deserves a few minutes of your time."
" Bye"
例5
" Wussaaaaaaaap?"
" Should i email u first to email me? "
" u don't know how much ur emails mean to me."
" i wish u like this email and plzz don't forget me :)"
例6
" WoW But not for NoW"
" coz i couldn't get the other part of it ,"
" any way , check it out "
" having alil thing is better than nothing :P"
例7
" y0 Ain't Got Shyt !"
" All u can get is burning ur self "
" Coz all we can do is to watch, nothing for us to touch :("
例8
" Why Do We FOk?"
" let me answer ,,,"
" hummmmmmmmm"
" Coz we Burn Our selves by watching ********** like the one i attached
:P"
例9
" Hi"
" i'v got it from a group called "
" it really fits us , check it out carefully :)"
" bye"
例10
" Q <--- what does it look likt?"
" Hummm , It looks like something men can't live without"
" ha? did u get it?"
" if not , enjoy ur Eyes by Seeing it ;) this one is deferent!"
例11
" Hiiiii"
" you seem to be mad @ me coz i didn't send u anything for along time," "i
didn't forget u , but i was busy , i've got all of ur emails" "thanx
:) and i hope u accept this one as an apology."
例12
" Heeelllooo , anybody home????"
" i tried many times to send u this email but ur account was out of storage
as i think" "any way , make sure that i didn't and i won't forget u
:)" "Cya Forgotten :P"
例13
" Why did u send me this shyt?"
" THANX BUT I DON'T ACCEPT SEX MATERIALS FROM STRANGERS."
" I SAW THEM N I WONDERED HOW U COULD DO SO ?"
" I REATTACHED THE SHYT U SENT "
" PLEASE DON'T EMAIL ME , "
例14
" Re:Hi"
" No thanx , keep it for you :)"
" Bye"
例15
" Helloooooooo"
" I've got your email , but you forgot to upload the attachments." "Don't
be selfish , i sent you all the files i have, send me anything :(" "If
u are booooored ..." "i found it in my Recycled , i know u love this
kind of thing ;)" "attachment :) bye"
電子メールをアンチウイルス製品のベンダーから送信された重要なお知らせのように偽装している場合もあります。
例
送信者 "Dispatch@McAfee.com"
件名 "Virus Alert !"
" Dear User,
McAfee.com Has recieved an infected message from you .We
believe that you are infected with Win32/HaWawi@MM Virus.
Please download the attached tool (ToolAv01w32) which will
help you to clean your PC. For more information :
*ここでvirus_research@nai.com宛の電子メールを作成します。
Your name, phone
number, address, and email address
Operating system
Antivirus program
Anti virus engine version (e.g. 4.1.20)
DAT file version (e.g. 4.0.4140)
Browser version
Nature of problem
これ以外にも多くの種類があります。
このワームは毎月20日から25日の間に、(かなりの可能性で)拡張子、"*.jpg" "*.doc" "*.pps" "*.ram" "*.zip"を持ったファイルを(ランダムに)検索すると思われます。これらのファイル名に偽装され、ワームは本体のコピーを.pif拡張子を使って“システム”ディレクトリにコピーし、これらのファイルをKazaaのpeer
to peerネットワーク経由で拡大するために使用します。
" Hot_Show"
" Short_vClip"
" Beauty_VS_Your_FaCe"
" Endless_life"
" Hearts_translator"
" Shakiraz_Big_ass"
" Sweet_but_smilly"
" Broke_ass"
" Lo0o0o0o0oL"
" Gurls_Secrets"
" Tedious_SeX"
" Leaders_Scandals"
" HaWawi_N_Hawaii"
" Come_2_Cum"
" Tears_of_Happiness"
" White_AmeRica"
" Famous_PpL_N_Bad_Setuations"
" XxX_Mpegs_Downloader"
" Teenz_Raper"
" Real_Magic"
" The_Truth_of_Love"
" unfaithful_Gurls"
" How_to_improve_ur_love"
" AniMaL_N_Burning_Ladies"
" Aint_it_Funny"
" ToolAv01w32"
悪意のあるペイロード:
レジストリキーの値:"HKEY_CURRENT_USER\DeathTime"は、値を1に初期化されます(当初の値は0ですが、1にインクリメントされます)。このキーの値は各実行(一般的には再起動)後にインクリメントされ、値が30になるまで続きます。この値が悪意のあるペイロードを起動させ、これによりCドライブにある全てのファイル(*.*)を削除します(すべでのサブディレクトリを含みます)。
ファイル削除のプロセスが行われている間、以下のテキストを持つメッセージボックスが表示されます。
" LOVE"
" PEACE"
" HOME"
" HAPPINESS"
""
" These things Can't be Found as long as Bush & Jews Are aLive :)"
" Made By ZaCker In 2003-03-30 :)"
最終的には、悪意のあるコードが以下のコマンドを使ってシステムをシャットダウンします。
" RunDll32.exe Shell32.dll,SHExitWindowsEx 0x01"
偽装された“From:”(送信者)アドレスは以下のレジストリキーから取得されます。
" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders\Cache"
" HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Default
Mail Account" "HKEY_CURRENT_USER\Software\Microsoft\Internet Account
Manager\Accounts\"
" \SMTP Email Address" "HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI
Account Manager\Default Mail Account" "HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI
Account Manager\Accounts\"
" \SMTP Email AddressHKEY_CURRENT_USER\Software\Yahoo\Pager\Yahoo! User
ID" "@yahoo.com"
また、このワームは以下のウェブサイトを攻撃すると思われます。
(加えて指示されたアクションを実行します):
" http://www.whitehouse.org "
|
