対応定義ファイル |
このウイルス(ワーム)の最初のサンプルは、NOD32のアドバンスドヒューリスティック機能により検知されました。
定義ファイルバージョン1.512 (20030918)以降で対応済みです。 |
ウイルスの対処方法 |
検出ファイルを削除してください |
ウイルスに関する危険度 |
4 -
感染が拡大している
※ 感染が拡大しています。危険度の評価を
4 にしました。 (2003.09.24) |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■ Win32/Swen.A
マイクロソフトのセキュリティの更新を偽装したメールにより感染が広がります。また、ローカル・ネットワーク(LAN)、IRCおよびKazaaによって感染します。このワームは、電子メールで自動実行するというInternet
Explorerの脆弱性を利用します。
メッセージ本文はHTML形式で、Microsoft社の技術サポートやセキュリティパッチの情報に関する公式ページを真似ています。
[ HTML形式で送られる偽装メール ]
|
|
メッセージ本文の内容は、以下のようなものがあります。
例1:
From: "microsoft network message
delivery service"
To: "network user"
Subject:undeliverable message enclosed
添付ファイル: [ランダムに生成したファイル名].exe
例2:
From: "Technical Services"
To: "Consumer"
Subject: New Microsoft Security Patch enclosed
添付ファイル: [ランダムに生成したファイル名].exe
例3
From: MS Program Security Center
To: Microsoft Corporation Client
Subject: Current Network Critical Patch
添付ファイル: [ランダムに生成したファイル名].exe
例4
From: ms inet mail storage service
To: network receiver enclosed
Subject: [無し]
添付ファイル: [ランダムに生成したファイル名].exe
テキスト形式の本文の例:
Microsoft Consumer
this is the latest version of security update, the
"September 2003, Cumulative Patch" update which eliminates
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express
as well as three newly discovered vulnerabilities.
Install now to help protect your computer.
This update includes the functionality =
of all previously released patches.
System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
- MS Internet Explorer, version 4.01 and later
- MS Outlook, version 8.00 and later
- MS Outlook Express, version 4.01 and later
Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on displayed
dialog box.
How to use: You don"t need to do anything after installing
this item.
HTML形式の本文の例:
MS Client
this is the latest version of security update, the
"September 2003, Cumulative Patch" update which
eliminates all known security vulnerabilities
affecting MS Internet Explorer, MS Outlook and MS
Outlook Express as well as three newly discovered
vulnerabilities. Install now to help protect your
computer. This update includes the functionality of
all previously released patches.
System requirements
Windows 95/98/Me/2000/NT/XP
This update applies to
MS Internet Explorer, version 4.01 and later
MS Outlook, version 8.00 and later
MS Outlook Express, version 4.01 and later
Recommendation
Customers should install the patch at the earliest
opportunity.
How to install
Run attached file. Choose Yes on displayed dialog
box.
How to use
You don"t need to do anything after installing this
item.
Microsoft Product Support Services and Knowledge
Base articles can be found on the Microsoft
Technical Support web site. For security-related
information about Microsoft products, please visit
the Microsoft Security Advisor web site, or Contact
Us.
Thank you for using Microsoft products.
Please do not reply to this message. It was sent
from an unmonitored e-mail address and we are unable
to respond to any replies.
----------------------------------------------------
The names of the actual companies and products
mentioned herein are the trademarks of their
respective owners.
感染方法:
ワームは以下の条件で実行されます。
1.メールを受信したユーザが、任意に添付ファイルを実行します。
2.IFRAMEファイルダウンロードの脆弱性 [最新累積アップデートMS03-032に含まれるMS01-020]のパッチが充っていない場合。
このワームが実行されると、以下のダイアログが表示され、感染します。
|
上記のダイアログで [ はい ] [ いいえ ] どちらかをクリックすると、下記のダイアログが出ます。
今回、初めて感染した場合は、下記のダイアログが出ます。
このワームが既にインストールされる場合、次の内容のメッセージボックスを表示します。
下記画面が表示されることがあります。[ X ] を押して、画面を閉じてください。
また、ワームが実行されると、以下のファイアウォール・アンチウイルスソフトウェアが強制終了されます。
_avp
ackwin32
anti-trojan
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
Azonealarm
blackd
blackice
bootwarn
ccapp
ccshtdwn
cfiadmin
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
esafe
espwatch
f-agnt95
findviru
f-prot
f-prot95
fprot
fprot95
fp-win
frw
f-stopw
gibe
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
iface
iomon98
jedi
kpfw32
lockdown2000
lookout
luall
moolive
mpftray
msconfig
nai_vs_stat
navapw32
navlu32
navnt
navsched
navw
nisum
nmain
normist
nupdate
nupgrade
nvc95
outpost
padmin
pavcl
pavsched
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
pview
rav
regedit
rescue
safeweb
serv95
sphinx
sweep
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
■ Win32/Swen.A 駆除ツール
本クリーナープログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。
|