■ Win32/Sinala.A (別名:W32/Alanis-A)
Win32/Sinala.A は、電子メールの添付ファイルで拡散するワームです。特に、Grokster, KaZaA,
Morpheus, Edonkey, ICQ などのファイル共有を行うP2P(Peer-to-Peer)システムを利用して拡散します。
UPXユーティリティで圧縮されたワームのサイズは22,528バイトです。解凍するとサイズは、122KBになります。このワームはWindows95以降のWindowsオペレーティングシステム上で動作します。
Win32/Sinala.A は、以下の文字列からランダムに選ばれた題名をもつメッセージ(メール)として広がります。
axebahia
hectlavo
trancebaile
teckno
メールの本文は常に同じで、以下のテキストです。
hay te envio el video que me pediste ta buenazo este
es el video verdad espero que sea de tu
agrado espero que te guste a mi me gsuto :p el grupo esta buenazo muy buen
video Baile paso a
paso aprendera a bailar rapido Nuevos pasos viva la musica espero que te guste
los nuevos pasos
電子メールにはこのワームのコピーがファイルとして添付されており、
そのファイルが実行されると、
" ?Error interno en la aplicacion !intente en algunos
momentos!"
という偽のエラーメッセージが表示されます。
注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを
%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
Win32/Sinala.A が実行されると、%windir% ディレクトリにそのコピーを
molani.scr および Cleanmgr.mcg というファイル名で作成します。
また、%windir% ディレクトリにある system.ini ファイルの[boot]セクションに、
shell=Explorer.exe C:\WINDOWS\Cleanmgr.mcg
という行を追加して変更します。
Windows95/98/Me においてはシステムの再起動後に自動的にワームが活動を開始します。
このワームは、%system% ディレクトリにそのコピーを
kerneldll32.api, mope.scr, freesoft.avi.scr および Cleanmgr.mcg
というファイル名で作成します。
このワームは、Aドライブにフロッピーディスクが挿入されている場合、ワームのコピーを
axebah.exe, BadboysII.scr, piratas.scr および ring.exe
というファイル名で作成することも試みます。
このワームは、Cドライブのルートディレクトリに、
alanis.html, avril.html, pamelaXXX.html, evan.html および
nemo.html
を作成します。これらのファイルのサイズはすべて同じで、673バイトです。
同時に、Cドライブのルートディレクトリに、1,026バイトの tazmania.txtファイルを作成します。
このワームは、システムレジストリキー
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
の w32alanis という項目に、%system%\mope.scr を設定してオペレーティングシステムの再起動後にワームをコピーする活動を開始します。
また、システムレジストリキー HKEY_LOCAL_MACHINE\Software\CLASSES
に、拡張子がmcgであるファイルの実行を許可しないように変更します。
このワームは、メールクライアント Microsoft Outlook のディレクトリから、電子メールを経由して感染を広めるために、メールアドレスを取得します。このワームは、point-to-point
ネットワークにおいて、以下のディレクトリの有効性を確認して、感染を広めます。
C:\Program Files\WinMX\My Shared Folder\
C:\archiv~1\WinMX\My Shared Folder\
C:\Program Files\KaZaA\My Shared Folder\
C:\ARCHIV~1\KaZaA\My Shared Folder\
C:\Program Files\Grokster\My Grokster\
C:\ARCHIV~1\Grokster\My Grokster\
C:\Program Files\Morpheus\My Shared Folder\
C:\archiv~1\Morpheus\My Shared Folder\
C:\Program Files\ICQ\shared files\
C:\archiv~1\ICQ\shared files\
C:\Program Files\Edonkey2000\incoming\
C:\archiv~1\Edonkey2000\incoming\
C:\Program Files\KaZaA Lite\My Shared Folder\
C:\Program Files\KaZaA Lite\My Shared Folder\
これらのディレクトリのうち1つでも存在した場合、ワームはそのディレクトリに
そのコピーを以下のファイル名で作成します。
alanis morri.mcg
avril lavig.mcg
picsXXX.mcg
piratas.mcg
termi.mcg
destino2.mcg
seaevil.mcg
prin.mcg
paMXX.mcg
evange.mcg
saint.mcg
ova4.mcg
ova13.mcg
ponw.mcg
metalica.mcg
NOD32アンチウイルスは、更新を行うことなく拡張ヒューリスティックを使用することにより、
Win32/Sinala.A を検出することができます。ウイルス定義ファイルは1.554にて対応しています。
