キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/Nuwar.A


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Nuwar.A	公開日：2006年11月17日
このウイルスに関する危険度 :■■□□□

定義名称	Win32/Nuwar.A ※このメッセージはシグネチャ検査による結果の場合に表示する名称です。
別名	W32.Mixor.C@mm (Symantec)
種別	ワーム
対応定義ファイル	バージョン 1.1851
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのワームを利用した亜種が検出された場合は、「NewHeur_PE ウイルス」もしくは「Win32/Nuwarワームの亜種」という名称で警告が出ます。
影響受けるプラットフォーム	Microsoft Windows
概要	Win32/Nuwar.Aは、電子メールを通じて感染を広げるワームで、RARアーカイブおよび実行ファイルに感染します。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Nuwar.A ワームが実行されると、ワームは次のファイル名を使って自分自身を %system% へコピーし、適当な名前でドロップします。そのファイルのサイズは、5707バイトです。

wservice.exe

ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。

	[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] " UpdateService" = "%system%\wservice.exe"
	[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] " UpdateService" = "%system%\wservice.exe"

■電子メール経由の拡散について

ワームはさらに拡散するために、電子メールアドレスを取得する手段として、次の拡張子のうちの1つのローカルファイルで捜す行動をとります。

.hta
.htm
.txt
.wab

次の文字列を含むアドレスは避けます。

.gov
.mil
microsoft

電子メールの送信先(Sender)は、次の文字列のいくつかが使用されます。

Aldora
Alysia
Amorita
Anita
April
Aretina
Barbra
Becky
Bella
Bettina
Blenda
Briana
Bridget
Caitlin
Camille
Cara
Carla
Carmen
Clarissa
Damita
Danielle
Daria
Diana
Donna
Dora
Doris
Ebony
Eden
Eliza
Emily
Erika
Evelyn
Faith
Gale
Gilda
Gloria
Haley
Helga
Holly
Chelsea
Idona
Iris
Isabel
Ivana
Ivory
Janet
Jewel
Joanna
Julie
Juliet
Kacey
Kali
Kara
Kassia
Katrina
Kyle
Lara
Laura
Linda
Lisa
Lolita
Lynn
Maia
Mary
Melody
Mimi
Myra
Nadia
Naomi
Natalie
Nicole
Nina
Nora
Nova
Olga
Olivia
Pamela
Peggy
Queen
Rachel
Rita
Rosa
Ruby
Sharon
Silver
Valda
Valora
Vanessa
Vicky
Violet
Vivian
Wendy
Willa
Xandra
Xenia
Xylia
Zenia
Zilya

電子メールの件名(Subject)は、次のうちの1つです。

White house news!
ATTN TO EVERYBODY!
READ AND RESEND ASAP!
Incredible news!
NEWS!
ATTN
URGENT NEWS!

電子メールの本文(Body)は、次のうちの1つです。

	■本文1 3rd Glogal War Just Started!!! Read more in file!
	■本文2 GLOBAL NUCLEAR WAR JUST STARTED! News in file.
	■本文3 Nuclear War in Russia! Read news in file!
	■本文5 Nuclear WAR in USA! Read attached file!
	■本文6 President Bush DEAD! Read attached file!
	■本文7 President Putin dead! Read more in attached file!
	■本文8 Putin and Bush starts NUCLEAR WAR! Check the file!

添付ファイルはワームの実行形式ファイルで、ファイル名は次のうちのいずれかです。

open.exe
truth.exe
war.exe
last.exe
about me.exe
a.exe
never.exe
latest news.exe
read me.exe

■実行ファイルの感染

ワームは、次の拡張子を持つ実行可能なファイルを探します。

.exe
.scr

感染ファイルの選定は、いくつかのほかの基準が適用されます。ファイルに感染する時、ワームは実行可能なファイルをコピーします。そのコピーの名前は適当に付けられます。ホストファイルはオリジナルのコードを走らせる前に、ワームを実行する方法に変更されます。

挿入されたコードの長さは155バイトで、ファイルの全体の長さは変わりません。

■その他の情報

次のアプリケーションが停止されます。

anti
blackice
f-pro
firewall
hijack
lockdown
mcafee
msconfig
nod32
reged
spybot
taskmgr
troja
viru
vsmon
zonea

ワームは、インターネットからファイルのダウンロードを試みます。そのファイルは実行されます。