| 対応定義ファイル |
定義ファイルバージョン 1.587 (20031229)以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■ Win32/Gluber.B
Win32/Gluber.B は、電子メールの添付ファイルおよびPCネットワークの共有ディスクを利用して拡散するワームです。UPXユーティリティで圧縮されたワームのサイズは19,526バイトです。解凍するとサイズは、188KBになります。このワームはWindows95以降のWindowsオペレーティングシステム上で動作します。 注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを
%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
このワームは、その内部にあらかじめ定義された文字列からランダムに選ばれた題名をもつメッセージ(メール)として広がります。メールの題名は、次の中のいずれかになります。
Hi!
Bad news!
Free porn!
Report!
Hack me!
Bussiness
News!
Warning!
hello
Buy 1 Free 2
Need help!
plz!
Re:
great!
you are!
Your resume
Update
Spend Money
Too easy
oh wow
nice job!
メールの添付ファイル名は、次の文字列のいずれかに、.exe, .com, .pif, .bat
のいずれかの拡張子を付けたファイル名になります。
setup
readme
quiz
logfile
document
news
video
music
text
card
credit
collection
brand
request
fees
pictures
image
magazine
computers
multi
help
problem
メールの本文には、次のいずれかのテキストが含まれます。
Hey! It's that what you want! I hope so! Check the file
first
then reply back if you have problem!
By
Alex Pravoks
For the truth of love! I have suprise to you! Please baby
forgive me!
Ronn Elika
Oh my god! It's that you! Helo! Helo! So, this is gift
for christmas day!
Orlian Jieg
Hello friend,
I have a problem here. I have encrypt the file that contain
my message problem.
The password is 'helpx'. Plz reply back!
A message you have received has been converte to an attachment.
I sorry cause that problem.
このワーム(添付ファイル)が実行されると、%system% ディレクトリに、
そのコピーを djfgucxr.exe というファイル名で作成します。また、
Cドライブのルートディレクトリにも、ランダムなファイル名でそのコピーを
作成します。このワームは、オペレーティングシステムの再起動後にワームを
コピーする活動を開始するために、Windows95/98/Meにおいては system.ini
ファイルを、WindowsNT/2000/XPにおいてはシステムレジストリを変更します。
system.iniファイルに対しては、その[boot]セクションに次の行を追加します。
shell=Explorer.exe Djfgucxr.exe
このワームは、電子メールを経由して感染を広めるために、ローカルディスク
および共有ディスク上の以下の拡張子を持つファイルからメールアドレスを取得します。
WAB, TXT, MHT, HTM, HTML, EML, JSE, ASP, DBX, MBX, MMF,
TBB, NCH, ODS および VCF
このワームは、ネットワークの有効な共有ディスクを経由して感染を広めるために、
ランダムに選ばれたファイル名に .exe, .com, .pif, .bat のいずれかの拡張子を
付けたファイルとして、それらのディスクにコピーします。
また、このワームは次の名前のプロセスを停止します。
AVPM.EXE
AVP32.EXE
AVPMON.EXE
ZONEALARM.EXE
VSHWIN32.EXE
VET95.EXE
TBSCAN.EXE
SERV95.EXE
SCAN32.EXE
RAV7.EXE
NAVW.EXE
OUTPOST.EXE
NMAIN.EXE
NAVNT.EXE
MPFTRAY.EXE
LOCKDOWN2000.EXE
ICSSUPPNT.EXE
ICLOAD95.EXE
IAMAPP.EXE
FINDVIRU.EXE
F-AGNT95.EXE
DV95.EXE
DV95_O.EXE
CLAW95CT.EXE
CFIAUDIT.EXE
AVWUPD32.EXE
AVPTC32.EXE
_AVP32.EXE
AVGCTRL.EXE
APVXDWIN.EXE
_AVPCC.EXE
AVPCC.EXE
WFINDV32.EXE
VSECOMR.EXE
TDS2-NT.EXE
SWEEP95.EXE
SCRSCAN.EXE
SAFEWEB.EXE
PERSFW.EXE
NAVSCHED.EXE
NVC95.EXE
NISUM.EXE
NAVLU32.EXE
MOOLIVE.EXE
JED.EXE
ICSUPP95.EXE
IBMAVSP.EXE
FRW.EXE
F-STOPW.EXE
ESPWATCH.EXE
DVP95.EXE
CLAW95.EXE
CFIADMIN.EXE
AVWIN95.EXE
AVP.EXE
AVE32.EXE
ANTI-TROJAN.EXE
WEBSCAN.EXE
WEBSCANX.EXE
VSSCAN40.EXE
TDS2-98.EXE
SPHINX.EXE
SCANPM.EXE
RESCUE.EXE
PCFWALLICON.EXE
PAVCL.EXE
NUPGRADE.EXE
NAVWNT.EXE
NAVAPW32.EXE
LUALL.EXE
IOMON98.EXE
ICMOON.EXE
IBMASN.EXE
FPROT.EXE
F-PROT95.EXE
ESAFE.EXE
CLEANER3.EXE
EFINET32.EXE
BLACKICE.EXE
AVSCHED32.EXE
AVPDOS32.EXE
AVPNT.EXE
AVCONSOL.EXE
ACKWIN32.EXE
VSSTAT.EXE
VETTRAY.EXE
TCA.EXE
SMC.EXE
SCAN95.EXE
RAV7WIN.EXE
PCCWIN98.EXE
PADMIN.EXE
NORMIST.EXE
NAVW32.EXE
N32SCAN.EXE
LOOKOUT.EXE
IFACE.EXE
ICLOADNT.EXE
IAMSERV.EXE
FP-WIN.EXE
F-PROT.EXE
ECENGINE.EXE
CLEANER.EXE
CFIND.EXE
BLACKD.EXE
AVPUPD.EXE
AVKSERV.EXE
AUTODOWN.EXE
_AVPM.EXE
REGEDIT.EXE
TASKMGR.EXE
CCEVTMGR.EXE
CCAPP.EXE
REGEDIT.COM
HH.EXE
COMMAND.COM
CMD.EXE
RSTRUI.EXE
LUCOMSERVER.EXE
STIMON.EXE
FIXBUG.EXE
FIXBUGB.EXE
AVGSERV9.EXE
NOTEPAD.EXE
RULAUNCH.EXE
上記のプロセスに加えて、次の文字列を含む名前を持つプロセスも停止します。
Norton
AV
Anti
Vir
McAfee
viru
anti
hack
Registry
view
spy
scan
monitor
tool
task
pad
このワームは攻撃者が感染したコンピュータを遠隔コントロールすることを可能にします。このワームの本体に W32.Narita
というテキストがあります。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.587にて対応しています。 |
