キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Nachi.B
公開日:2004年02月17日
このウイルスに関する危険度 :■■■□□
対応定義ファイル 定義ファイルバージョン1.623 (20040212) 以降で対応済みです。
ウイルスの対処方法 検出ファイルを削除してください
ウイルスに関する危険度 - 感染報告あり
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中


■ Win32/Nachi.B

Win32/Nachi.B は、Windows2000およびWindowsXPシステムに感染するワームです。このワームのサイズは、12,800バイトで、UPXユーティリティで圧縮されています。

注意:以下の説明において、%windir% はWindows OS がインストールされたディレクトリ名を意味します。また、%system% は %windir% にあるサブディレクトリ "System" または" System32" を意味します。

このワームが活動を開始すると、%system%\drivers ディレクトリに、svchost.exe という名前で自分自身をコピーします。

このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。) また、"WksPatch"というサービスとして自分自身を登録します。そのサービスの表示名は、以下の単語の中から2つまたは3つがランダムに選ばれます。

Systems
Security
Remote
Routing
Performance
Network
License
Internet

Logging
Manager
Procedure
Accounts
Event

Provider
Sharing
Messaging
Client

このワームは、感染したシステムが日本語Windows2000または日本語WindowsXPでなければ、Nachi.Aによって作成された"RpcPatch"サービスを停止します。このワームは、感染したコンピュータで、MyDoom.A が活動していた場合、%system% ディレクトリから、Mydoom.A が作成する taskmon.exe および shimgapi.dll を削除します。MyDoom.B が活動していた場合、%system% ディレクトリから、Mydoom.B が作成する
explorer.exe および ctfmon.dll を削除します。また、MyDoom.A または MyDoom.B の活動を有効にするためのシステムレジストリのエントリーも削除します。

このワームは、次のシステムレジストリに %SystemRoot%\System32\webcheck.dll
という値を追加します。

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

また、%system%\drivers\etc\hosts ファイルに、127.0.0.1 localhost という行を追加します。
日本語Windows2000または日本語WindowsXPの場合、このワームは、Microsoft IIS Server を検索して、それらのファイルの拡張子をすべて以下の拡張子で上書きします。

.asp
.htm
.html
.php
.cgi
.stm
.shtm
.shtml

さらにそれらのファイルにHTMLコードとして以下のテキストを追加します。

LET HISTORY TELL FUTURE !

1931.9.18
1937.7.7
1937.12.13 300,000 !

1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso

1945.8.15
Let history tell future !

韓国語Windows、中国語Windowsまたは英語Windowsが動作しているコンピュータに、このワームが感染した場合、このワームは次のパッチをダウンロードしてインストールを試みます。

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-043.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-049.asp

このワームは、WindowsオペレーティングシステムとMicrosoft IIS Serverのいくつかの脆弱性を利用して
感染します。また、IPアドレスを生成して、それらの脆弱性をもつコンピュータを探します。
このワームには、感染を広げるために、単純なHTTPサーバー(ランダムなポート番号を使います)としての
機能も含まれています。このワームのHTTPサーバーは、ワーム本体を送り込むためのWksPatch.exeからのリクエストのみに応答します。このワームのHTTPサーバーは、他のファイルへのアクセスを拒否します。

このワームは、感染から120日後または2004年6月1日以降、活動を停止します。NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.623にて対応しています。

NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。


■Win32/Nachi.B 駆除ツール


本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。

1. 駆除ツール ncbclean.exe をダウンロードし、ディスクドライブの任意のディレクトリに
保存してください。(例"c:\download")
2. ncbclean.exe を実行してください。
3.

ディスクスキャンの実施

ディスクスキャンの実施
駆除ツールにある [ Start ] ボタンを押し、ディスクスキャンを実施してください。

【注意】下記が出ます。
NOD32アンチウイルスをお使いの場合はAMON(常駐監視)を停止してください。他社製のウイルス対策ソフトなどが常駐している場合、常駐を解除された状態でご使用ください。
[ OK ] をクリックすると、ディスクスキャンが開始されます。

警告メッセージ

ディスクスキャン

4. ウイルスを削除する確認ダイアログが表示されますので [ Yes ]を選択してください。

確認ダイアログ
5. Windowsを再起動してください。以上で完了です。
(再起動を確認するダイアログが表示されますので[OK]を選択してください。)
再起動の確認メッセージ
このページのトップへ

(C)Canon IT Solutions Inc.