■侵入(インストレーション)について
Win32/Agent.NCU ワームが実行されると、ワームは自分自身を次のファイル名を使って、%windir% フォルダへコピーします。
 |
trayicons.exe |
また、同じフォルダに次のファイルがドロップされます。
|
windisk.dll (33792 B)
|
次のレジストリが登録されます。
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
"(Default)" = ""%windir%\trayicons.exe" exec "%1" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command]
"(Default)" = ""%windir%\trayicons.exe" exec "%1" /S" |
さらに、次のレジストリが作成されます。
|
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\SYSTEM]
"DisableTaskMgr" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\SYSTEM]
"DisableRegistryTools" = 1
[HKEY_CURRENT_USER\Software\Microsoft\DiskCheck] |
ワームは、次のプロセスのライブラリに、windisk.dllを読み込んでインジェクトします。
|
explorer.exe |
■電子メール経由の拡散について
ワームはさらに拡散するために、次の拡張子の1つのローカルファイルより電子メールアドレスを捜します。
|
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab |
さらに、Windows アドレス帳からも電子メールアドレスを探します。次の文字列が含まれるアドレスは無視されます。
|
.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spam
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your
|
送信元アドレスは、次の2つのリストの中から文字列を組み合わせて作られます。
|
リスト1
adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
リスト2
aol.com
hotmail.com
msn.com
yahoo.com |
メッセージの本文(Body)は、次のうちの1つです。
|
本文1
Mail transaction failed. Partial message is available.
本文2
test
本文3
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
本文4
The message contains Unicode characters and has been sent as a binary attachment. |
ワームは実行可能な添付を加えます。そのときの添付されたファイル名は次の通りです。
|
doc
text
file
data
test
body
message
hello
readme
document |
添付のファイル名は2重拡張子にします。最初の拡張子は次のうちの1つです。
|
.bat
.cmd
.doc
.exe
.htm
.pif
.scr
.txt
.zip |
2つ目の拡張子は次のうちの1つです。
|
.exe
.pif
.scr
|
■P2Pネットワーク経由の拡散について
ワームは、次のプログラムの共有フォルダを探します。
|
Kazaa
|
実行可能な形式を次のファイル名を使用して、コピーを行います。
|
activation_crack
icq2004-final
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
winamp5 |
ファイル名は次の拡張子のうち1つを持ちます。
|
bat
exe
pif
scr |
■その他の情報
ワームは次のファイルを使用して自分自身をコピーします。
|
%windir%\Temp\checkmem.exe
%temp%\checkdisk.exe
diskscan.exe
%windir%\Temp\iotemp.dll
%temp%\iotemp.dll
iometer.dll |
ワームは、インターネットから実行可能なファイルをダウンロードして実行します。ワームにはURLリストが含まれており、感染したコンピュータに関するさまざまな情報を送ることができます。 |
