キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Nuwar.M
公開日:2007年1月9日
このウイルスに関する危険度 :■■□□□

定義名称 Win32/Nuwar.M
※このメッセージはシグネチャ検査による結果の場合に表示する名称です。
種別 ワーム
対応定義ファイル バージョン 1944
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのワームを利用した亜種が検出された場合は、
「NewHeur_PE ウイルス」もしくは「Win32/Nuwarワームの亜種」
という名称で警告が出ます。
影響受けるプラットフォーム Microsoft Windows
概要 Win32/Nuwar.Mは、電子メールを通じて感染を広げるワームです。詳しい活動内容については、解説欄をご参照ください。

 

検出した場合の対処方法

主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Nuwar.M ワームが実行されると、ワームは次のファイル名を使って自分自身を %system% へコピーし、そのほかにも適当な名前を使い実行可能な形式でドロップします。このサイズは6295バイトです。

  alsys.exe
   ppl.exe

ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。このキーには、ワームが実行する場所を含んでいます。

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Agent
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Agent

■電子メール経由の拡散について

ワームはさらに拡散するために、電子メールアドレスを取得する手段として、次の拡張子のうちの1つのローカルファイルで捜す行動をとります。

   .hta
.htm
.txt

次の文字列を含むアドレスは避けます。

   .gov
.mil
microsoft

電子メールの送信先(Sender)は、次の文字列のいくつかが使用されます。

   Aldora
Alysia
Amorita
Anita
April
Ara
Aretina
Barbra
Becky
Bella
Bettina
Blenda
Briana
Bridget
Caitlin
Camille
Cara
Carla
Carmen
Clarissa
Damita
Danielle
Daria
Diana
Donna
Dora
Doris
Ebony
Eden
Eliza
Emily
Erika
Eve
Evelyn
Faith
Gale
Gilda
Gloria
Haley
Helga
Holly
Chelsea
Ida
Idona
Iris
Isabel
Ivana
Ivory
Janet
Jewel
Joanna
Julie
Juliet
Kacey
Kali
Kara
Kassia
Katrina
Kyle
Lara
Laura
Linda
Lisa
Lolita
Lynn
Maia
Mary
Melody
Mimi
Myra
Nadia
Naomi
Natalie
Nicole
Nina
Nora
Nova
Olga
Olivia
Pamela
Peggy
Queen
Rae
Rachel
Rita
Rosa
Ruby
Sharon
Silver
Ula
Uma
Valda
Valora
Vanessa
Vicky
Violet
Vivian
Wendy
Willa
Xandra
Xenia
Xylia
Zenia
Zilya
Zoe

電子メールの件名(Subject)は、次のうちの1つです。

   Happy New Year!

電子メールの本文(Body)は、何も書かれていません。

添付ファイルはワームの実行形式ファイルで、次のファイル名です。

   postcard.exe

■その他の情報

次のアプリケーションが停止されます。

   anti
avg
avp
blackice
f-pro
firewall
hijack
lockdown
mcafee
msconfig
nav
nod32
rav
reged
spybot
taskmgr
troja
viru
vsmon
zonea

ワームは、インターネットからさまざまなファイルのダウンロードを試みます。そのファイルは実行されます。


このページのトップへ

(C)Canon IT Solutions Inc.