対応定義ファイル |
定義ファイルバージョン1.623 (20040212)
以降で対応済みです。 |
ウイルスの対処方法 |
検出ファイルを削除してください |
ウイルスに関する危険度 |
3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■ Win32/Nachi.B
Win32/Nachi.B は、Windows2000およびWindowsXPシステムに感染するワームです。このワームのサイズは、12,800バイトで、UPXユーティリティで圧縮されています。
注意:以下の説明において、%windir% はWindows OS がインストールされたディレクトリ名を意味します。また、%system%
は %windir% にあるサブディレクトリ "System" または" System32" を意味します。
このワームが活動を開始すると、%system%\drivers ディレクトリに、svchost.exe
という名前で自分自身をコピーします。
このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。) また、"WksPatch"というサービスとして自分自身を登録します。そのサービスの表示名は、以下の単語の中から2つまたは3つがランダムに選ばれます。
Systems
Security
Remote
Routing
Performance
Network
License
Internet
Logging
Manager
Procedure
Accounts
Event
Provider
Sharing
Messaging
Client
このワームは、感染したシステムが日本語Windows2000または日本語WindowsXPでなければ、Nachi.Aによって作成された"RpcPatch"サービスを停止します。このワームは、感染したコンピュータで、MyDoom.A
が活動していた場合、%system% ディレクトリから、Mydoom.A が作成する taskmon.exe
および shimgapi.dll を削除します。MyDoom.B が活動していた場合、%system% ディレクトリから、Mydoom.B
が作成する
explorer.exe および ctfmon.dll を削除します。また、MyDoom.A または MyDoom.B
の活動を有効にするためのシステムレジストリのエントリーも削除します。
このワームは、次のシステムレジストリに %SystemRoot%\System32\webcheck.dll
という値を追加します。
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
また、%system%\drivers\etc\hosts ファイルに、127.0.0.1
localhost という行を追加します。
日本語Windows2000または日本語WindowsXPの場合、このワームは、Microsoft
IIS Server を検索して、それらのファイルの拡張子をすべて以下の拡張子で上書きします。
.asp
.htm
.html
.php
.cgi
.stm
.shtm
.shtml
さらにそれらのファイルにHTMLコードとして以下のテキストを追加します。
LET HISTORY
TELL FUTURE !
1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso
1945.8.15
Let history tell future !
韓国語Windows、中国語Windowsまたは英語Windowsが動作しているコンピュータに、このワームが感染した場合、このワームは次のパッチをダウンロードしてインストールを試みます。
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-043.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-049.asp
このワームは、WindowsオペレーティングシステムとMicrosoft IIS
Serverのいくつかの脆弱性を利用して
感染します。また、IPアドレスを生成して、それらの脆弱性をもつコンピュータを探します。
このワームには、感染を広げるために、単純なHTTPサーバー(ランダムなポート番号を使います)としての
機能も含まれています。このワームのHTTPサーバーは、ワーム本体を送り込むためのWksPatch.exeからのリクエストのみに応答します。このワームのHTTPサーバーは、他のファイルへのアクセスを拒否します。
このワームは、感染から120日後または2004年6月1日以降、活動を停止します。NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.623にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
■Win32/Nachi.B 駆除ツール
本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。
|