| 対応定義ファイル |
定義ファイルバージョン 1.489 (20030819)以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
3
- 感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
このワームは、自身を電子メールの添付ファイルとして送信することにより感染を広げます。
送信されたメールは、以下のような内容になります。
Sender: "Microsoft" <security@microsoft.com>
Object: Usas this patch immediately!
Message: Dear friend, the united states this Internet
Explorer patch now! There are dangerous virus in the Internet
now! Delays than 500.000 already infected!
Cited: patch. exe
このワームは、Microsoft Visual C ++でコンパイルされた32ビットのWindows
PE(Portable Executable)ファイルです。このファイルは、UPXで圧縮されており、ファイルサイズは9216バイトです。このファイルが実行されると、以下のファイルをコピーします。
%Windir%\dllreg.exe %Sysdir%\load32.exe %Sysdir%\vxdmgr32.exe
%Windir%は、Windowsのフォルダパスの変数名で、%Sysdir%は、システムフォルダの変数名です。ワームは、8192バイトの%Windir%\windrv.exeという「トロイの木馬」またはバックドアとなるファイルを作成します。このワームは、IRC(Internet
Relay Chat)を利用してバックドアを作成します。
このワームは独自のSMTP(Simple Mail Transport Protocol)エンジンを持ち、以下の拡張子を持つファイルを探し出し、攻撃のターゲットとなるメールアドレスを見つけます。
.abd
.dbx
.htm
.html
.tbb
.wab
収集されたメールアドレスは、%Windir%\winload.logというファイルに記録(保存)されます。
下記の内容がレジストリに書き込まれるため、システム起動時に自動的に起動するようになります。
load32 = %Windir%\load32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows 9X/MEでは、system.iniとwin.iniの中に以下の内容を書き込みます。
WIN.INI
[windows]
run=%Windir%\dllreg.exe
SYSTEM.INI
[boot]
shell=explorer.exe %System%\vxdmgr32.exe |
