Win32/VB.NEI は、マスメーリング活動を行うワームで、サイズは95,690バイトです。このワームはUPX形式で圧縮されています。このワームはネットワーク共有を経由して感染を広げることも試みています。
このワームは、VB6ランタイムがインストールされているコンピュータで動作します。VB6ランタイムは標準的なWindows9xにはデフォルトではインストールされませんが、WindowsXPではデフォルトでインストールされますので、注意が必要です。
※参考
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"
System32"は %system% と表記しています。
このワームが実行されると、自分自身のコピーを %system% フォルダに "
scanregw.exe", "update.exe", "winzip.exe" としてコピーします。また、%windir%
フォルダにも、"rundll16.exe" としてコピーします。
このワームは、オリジナルの実行ファイル名を使って、0バイトのzipファイルも作成して開きます。
このワームは、自身がWindowsの再起動時に実行されるように、次のレジストリキーを追加します。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"ScanRegistry" = "%System%\scanregw.exe /scan"
また次のレジストリキーを削除することを試みます。
NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
CleanUp
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte
PCClient.exe
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
PCCIOMON.exe
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
DownloadAccelerator
BearShare
レジストリの位置は、次のものです。
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
このワームは、次のレジストリの値を変更することを試みます。
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"WebView" = "0"
"ShowSuperHidden" = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
"FullPath" = "0"
さらに、次のレジストリの中のエントリーも変更します。
HKLM\Software\Classes\Licenses
このワームは、Programフォルダの中の次のサブフォルダにあるファイルを削除することを試みます。
DAP
BearShare
Symantec\LiveUpdate
Symantec\Common Files\Symantec Shared
Norton AntiVirus
Alwil Software\Avast4
McAfee.com\VSO
McAfee.com\Agent
McAfee.com\shared
Trend Micro\PC-cillin 2002
Trend Micro\PC-cillin 2003
Trend Micro\Internet Security
NavNT
Kaspersky Lab\Kaspersky Anti-Virus Personal
Grisoft\AVG7
TREND MICRO\OfficeScan
Trend Micro\OfficeScan Client
LimeWire\LimeWire 4.2.6
Morpheus
このワームは、ダイアログのタイトルに次の文字を含むプロセスを停止することを試みます。
REMOVAL
FIX
SYMANTEC
SCAN
KASPERSKY
VIRUS
MCAFEE
TREND MICRO
NORTON
このワームは、次のプログラムの位置を記録しているレジストリキーを検索します。これは、セキュリティ対策ソフトウェアの関連ファイルを削除することを目的にしています。
Iface.exe
Kaspersky Anti-Virus Personal
Norton AntiVirus
Panda Antivirus 6.0 Platinum
VirusProtect6
このワームは、電子メールアドレスを収集して、そのアドレスを使って送信元を偽装したメールを大量に送信します。このワームは、次の拡張子を持つファイルから電子メールアドレスを収集します。
*.HTM, *.DBX, *.EML, *.MSG, *.OFT, *.NWS,
*.VCF, *.MBX, *.IMH, *.TXT, *.MSF
このワームは、次の文字を含む電子メールアドレスは収集しません。
SYMANTEC, MCAFEE, VIRUS, TREND, PANDA, SECUR,
SPAM, NORTON, ANTI, CILLIN, CA.COM, KASPER, TRUST,
AVG, GROUPS.MSN, NOMAIL.YAHOO.COM, SCRIBE, EEYE
MICROSOFT, @HOTMAIL, @HOTPOP, @YAHOOGROUPS
電子メールの題名は、次のいずれかからランダムに選択されます。
My photos
The Best Videoclip Ever
School girl fantasies gone bad
A Great Video
Fuckin Kama Sutra pics
Arab sex DSC-00465.jpg
give me a kiss
*Hot Movie*
Fw: Funny :)
Fwd: Photo
Fwd: image.jpg
Fw: Sexy
Fw:
Fw: Picturs
Fw: DSC-00465.jpg
Word file
eBook.pdf
the file
Part 1 of 6 Video clipe
You Must View This Videoclip!
Miss Lebanon 2006
Re:
Re: Sex Video
Message Body
電子メールの本文には次のいずれかのテキストを含みます。
Hot XXX Yahoo Groups
F!ckin Kama Sutra pics
ready to be F!CKED ;)
VIDEOS! FREE! (US$ 0,00)
Please see the file.
i just any one see my photos.
It's Free :)
how are you?
i send the details.
OK ?
Note: forwarded message attached.
forwarded message attached.
>> forwarded message
----- forwarded message -----
このワームは、自分自身のコピーを次のいずれかのファイル名で送信するメールに添付します。
007.pif
04.pif
photo.pif
School.pif
DSC-00465.Pif
DSC-00465.pIf
image04.pif
677.pif
New_Document_file.pif
eBook.PIF
document.pif
もしくは、これらをエンコードして次のファイル名で添付します。
Video_part.mim
Attachments00.HQX
Attachments001.BHX
Attachments[001].B64
3.92315089702606E02.UUE
SeX.mim
Sex.mim
Original Message.B64
WinZip.BHX
eBook.Uu
Word_Document.hqx
Word_Document.uu
これをデコードすると、次のいずれかの実行ファイルが含まれていることがわかります。
New Video,zip{多数の空白}.sCr
Attachments,zip{多数の空白}.SCR
Atta[001],zip{多数の空白}.SCR
Clipe,zip{多数の空白}.sCr
WinZip,zip{多数の空白}.scR
Adults_9,zip{多数の空白}.sCR
Photos,zip{多数の空白}.sCR
Attachments[001],B64{多数の空白}.sCr
392315089702606E-02,UUE{多数の空白}.scR
SeX,zip{多数の空白}.scR
WinZip.zip{多数の空白}.sCR
ATT01.zip{多数の空白}.sCR
Word.zip{多数の空白}.sCR
このワームには、ネットワークに接続されているコンピュータを検索する機能があり、検索されたコンピュータに対してアクセスできた場合、そのコンピュータ上にランダムなファイル名(Visual
BasicのRND関数で作成)と実行可能形式の拡張子で、自分自身のコピーを作成することを試みます。また、アクセスできたコンピュータに共有フォルダが設定されていた場合、そのフォルダに次のファイル名で自分自身のコピーを作成します。
movies.exe
New WinZip File.exe
Zipped Files.exe
また、このワームが感染を広げるために、Visual BasicのTimer2コントロールが実行されたときに、自分自身のコピーを次のように作成することを試みます。
Admin$\WINZIP_TMP.exe
C$\WINZIP_TMP.exe
C$\Documentsand Settings\All Users\Start Menu\Programs\Startup\WinZip Quick
Pick.exe
このワームは、アクセスできたコンピュータ上に次のフォルダが存在するかどうかをチェックします。
C$\Program Files\Norton AntiVirus
C$\Program Files\Common Files\symantec shared
C$\Program Files\Symantec\LiveUpdate
C$\Program Files\McAfee.com\VSO
C$\Program Files\McAfee.com\Agent
C$\Program Files\McAfee.com\shared
C$\Program Files\Trend Micro\PC-cillin 2002
C$\Program Files\Trend Micro\PC-cillin 2003
C$\Program Files\Trend Micro\Internet Security
C$\Program Files\NavNT
C$\Program Files\Panda Software\Panda Antivirus Platinum
C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
C$\Program Files\Panda Software\Panda Antivirus 6.0
C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus
もし、これらが存在していれば、このワームは、これらのフォルダの中のすべてのファイルを削除します。
このワームは、毎月3日に活動して、次の拡張子を持つファイルを上書きして破壊します。
*.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.zip,
*.rar, *.pdf, *.psd, *.dmp
NOD32アンチウイルスは、このワームに対してアドバンスドヒューリスティックで対応しており、ウイルス定義ファイルのバージョン1.1368(2006年1月16日)にて対応しています。従って、NOD32アンチウイルスのすべてのユーザーは、定義ファイルの更新を行うことなく、このWin32/VB.NEIから防御されています。 |