| 対応定義ファイル |
定義ファイルバージョン1.628 (20040218)
以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
2 -
感染可能性あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■Win32/Nodoom.A
Win32/Nodoom.A は、電子メールの添付ファイルとして拡散するワームです。
このワームのサイズは、5,568バイトで、FSGユーティリティで圧縮されています。このワームは、すべてのWindowsオペレーティングシステムで動作します。
注意:以下の説明において、%windir% はWindows OS がインストールされたディレクトリ名
を意味します。
また、%system% は %windir% にあるサブディレクトリ "System" または "
System32" を意味します。
このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。)
このワームは、システムの日付が1月か2月である場合に、活動します。
このワームは、次回コンピュータが再起動されたときに活動を開始するため、自分自身を %SYSTEM%\ctsls.exe
としてコピーしてから、次のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"
Ctsls" = "%SYSTEM%\ctsls.exe"
このワームは、感染を広げるために、感染したコンピュータ上のCドライブを検索して、次の拡張子をもつファイルからメールアドレスを取得します。
".MMF"
" .NCH"
" .MBX"
" .DBX"
" .EML"
" .TBB"
" .OCS"
" .TXT"
" .HTML"
" .HTM"
このワームは、Base64という方法を使ってエンコードされており、%SYSTEM%\Ynit.tmp というファイルに自分自身を保存します。このワームは、電子メールにこのファイルを添付して送信します。このワームは、レジストリキーからデフォルトのSMTPサーバーを検索して、次のファイル名のいずれかで添付して、感染した電子メールを送信します。
"pics.pif"
" patch.exe"
" screensaver.scr"
" file.txt .exe"
" weird.jpg .zip.exe"
" myfiles.exe"
" antiserum_1.exe"
このワームは、電子メールの題名に次のいずれかを使います。
"Happy Birthday"
" I can't recall what happened but.."
" I don't understand.."
" Is this the Smallest C++ MassMailer???"
" Shit happens..."
" SoBig SoSmall"
" Virus Alert: W32.Nodoom.A@mm "
メールの本文には次の文字列のいずれかが含まれます。
"Here are the files
you asked for,\ncheer"
" MessageLabs are the first to report of the new Nodoom Internet
Worm\nPlease install
the patch attached in this email to prevent outbreaks"
" \n\nCan you recall what happened at the party last friday?\nI'm
having serious problems,
i really should stop smoking!\n\t\t\t\t, \nMaybe the picture
files attached will explain
it to you..."
" \n\nplease explain me this attachment, it confused me.."
" SoSmall, SoCold, SoNice, SoGood, SoWarm.."
" Is this what where all about?"
このワームが活動している間、感染したコンピュータのメインメモリには、次の文字列を読み取ることができますが、これはデスクトップなどに表示されるものではなく、このワームの活動が停止して、割り当てられたメモリ領域が開放されると、メインメモリからは削除されます。
"Coded as Proof Of
Concept only..To show that C++ MassMailers can be as
small as
Asm
MassMailers.....This Program Has NEVER Been Released By
The Author!!The Author can NOT
be held responsible for any damage caused..As show of good
will, i have put
a DEADLINE+uneffective email bodies+unoptimized code...just
so that it won't spread at all..."
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.628にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
|
