最新ウイルス情報 : Win32/Lablan.A

公開日：2003年09月08日

このウイルスに関する危険度 :■■□□□

対応定義ファイル 定義ファイルバージョン 1.502 (20030905)以降で対応済みです。 ウイルスの対処方法 検出ファイルを削除してください ウイルスに関する危険度 ２ - 感染可能性あり ※ １:注意　２ :感染可能性あり　３:感染報告あり　４:感染が拡大している　５:深刻な被害が拡大中 ■ Win32/Lablan.A　速報 このウイルス(ワーム)の最初のサンプルは、2003年9月5日(金)(欧州時間)に、NOD32のアドバンスドヒューリスティック機能により検知されました。このワームはVisual Basic言語でコーディングされていて、ヒューリスティックによる検出を回避するために単純な文字列暗号化を用いています。 感染経路と活動 Win32/Lablan.Aワームは、主にKazaaやGrokster、iMeshなどを通してピアーツーピアネットワークで広がります。ワームは共有フォルダの中に自身を以下のような様々な名前(実行ファイル)を使ってコピーします。 Red alert 2 crack Sim city 4 crack Wolfenstein Return to the castle crack Tomb Raider 1 2 3 4 5 crack Rollercoaster Tycoon 2 crack sarah michelle gellar naked.jpg sandra bullock nude.jpg anastasia anal.jpg 加えて、前述のフォルダ内にある既存の実行ファイルをリライトします。 ワームは自身を隠す目的で、.zipファイルの中に実体を隠すことができます。結果として、アーカイブ形式にて配布されるようになります。 最後に、以下のような共有フォルダを通じてまた自身の実体をコピーします。 "\windows\start menu\programs\startup\" " \windows\menu start\programs\startup\" " \windows\start menu\programma's\opstarten\" " \Documents and Settings\All Users\Menu Start\Programma's\opstarten\" "\Documents and Settings\All Users\Menu Start\Programs\startup\" このワームはオランダにあるFTPサーバーからダウンロードアップデートするようプログラムされたアップデートルーチンを含んでいます。この解析の時点ではサーバーは利用できない状態です。 ワームはレジストリーキーに以下のような値を加えます。 HKLM\SOFTWARE\Classes\batfile\shell\open\command\(Default) Value: "C:\windows\WinBat.exe %1" HKLM\SOFTWARE\Classes\WinZip\shell\open\command\(Default) Value: "C:\progra~1\winzip\WZExtract.exe %1" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ComPlus Applications Values: "C:\winNT\ComPlus Applications.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ComPlus Applications Value: "C:\winNT\ComPlus Applications.exe" 結果として、ワームはコンピュータを再起動する毎に活性化されます。さらにワームには.BATや.ZIPファイルが実行される度に自身の実行形式コピーを含んだ同様の名前のzipファイルを生成するという特別なトリックがインプリメントされています。 NOD32をご使用のお客様は、NOD32のアドバンスドヒューリスティック機能により、ウイルスシグネチャのアップデート無しにワームが検出されるために影響を受けません。NOD32のウイルスシグネチャデータベースversion 1.502以上では、その名前でも識別されます。