キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/Nanspy.NAD


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Nanspy.NAD	公開日：2008年05月29日
このウイルスに関する危険度 :■■■□□

定義名称	Win32/Nanspy.NAD
シグネチャ検査による結果だった場合	Win32/Nanspy.NAD
種別	ワーム
別名	Net-Worm.Win32.Nanspy.ab (Kaspersky), W32.Kassbot (Symantec)
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Nanspy ワームの亜種」という名称で警告が出ます。
影響を受けるプラットフォーム	Microsoft Windows
概要	Win32/Nanspy.NAD ワームは、リムーバブルメディアを通じて感染を広げるワームです。また、Microsoft Windows DCOM RPC インターフェースバッファオーバーランの脆弱性を利用して、リモート先への接続を試みます。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

未然に防ぐために

Windows Updateよりセキュリティ修正プログラムを必ず導入してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Nanspy.NAD ウイルスが実行されると、自分自身を次の名前で %system% フォルダへコピーします。

mmsvc32.exe

感染ファイルが毎回実行できるようにするために、次のレジストリが登録されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Network Services Controller" = "%system%\mmsvc32.exe"

ウイルスは、次のプロセスで、それ自身のプログラムコードで新しいスレッドを作成して実行させます。

iexplore.exe

■拡散について

ワームは、次の名前を使ってリムーバブルメディアのルートフォルダに自分自身をコピーします。

autorun.exe

また、同じ場所に次のファイルをドロップします。

autorun.inf

これによって、コンピュータにこれらのファイルが含まれるメディアが挿入されると、自動再生によってワームが活動されます。

ワームは、適当なIPアドレスを生成します。Microsoft Windows DCOM RPCが持つ脆弱性を利用して、TCP 135番ポートでリモート先に接続を試みます。

この脆弱性については、Microsoft Webサイトをご参照ください。
Microsoft Security Bulletin MS03-026

■その他の情報

次のファイルが更新されます。

%system%\drivers\etc\hosts

ワームは、次の情報を書き込みます。

82.146.60.44 postbank.de
82.146.60.44 www.postbank.de
82.146.60.44 banking.postbank.de
82.146.60.44 direkt.postbank.de
82.146.60.44 www.smile.co.uk
82.146.60.44 smile.co.uk
82.146.60.44 cahoot.com
82.146.60.44 www.cahoot.com
82.146.60.44 www.cahoot.co.uk
82.146.60.44 cahoot.co.uk
82.146.60.44 www.co-operativebank.co.uk
82.146.60.44 co-operativebank.co.uk
82.146.60.44 www.co-operativebank.com
82.146.60.44 co-operativebank.com
82.146.60.44 personal.barclays.co.uk
82.146.60.44 barclays.co.uk
82.146.60.44 ibank.barclays.co.uk
82.146.60.44 www.barclays.co.uk
82.146.60.44 barclays.touchclarity.com
82.146.60.44 hsbc.co.uk
82.146.60.44 www.hsbc.co.uk
82.146.60.44 hsbc.touchclarity.com
82.146.60.44 www1.member-hsbc-group.com
82.146.60.44 lloydstsb.co.uk
82.146.60.44 www.lloydstsb.co.uk
82.146.60.44 lloydstsb.com
82.146.60.44 www.lloydstsb.com
82.146.60.44 mi.lloydstsb.com
82.146.60.44 www.woolwich.co.uk
82.146.60.44 woolwich.co.uk
82.146.60.44 www.deutsche-bank.de
82.146.60.44 deutsche-bank.de
82.146.60.44 meine.deutsche-bank.de
82.146.60.44 www.anbusiness.com
82.146.60.44 anbusiness.com
82.146.60.44 www.abbeyinternational.com
82.146.60.44 www.barclays.com
82.146.60.44 barclays.com
82.146.60.44 ibank.internationalbanking.barclays.com
82.146.60.44 offshore.hsbc.com

ワームは、次の文字列を使ったウィンドウが生成される際にそのプログラムを停止させます。

DBMWin

ワームは、名前に次の文字列を含むプロセスを停止させます。

ftp.exe
tftp.exe

ワームは、インターネットもしくはリモート先のコンピュータから命令を送信し、感染したコンピュータを制御します。HTTPとFTPプロトコルを使用します。また、ワームはURLのリスト持っています。この時に次の命令を実行します。

・DoS/DDoS攻撃
・インターネットもしくはリモート先のコンピュータよりファイルのダウンロード
・実行可能なファイルの稼動
・実行中のプロセスの停止

次のファイルを作成する場合があります。

%system%\1.htm