|
|
検出した場合の対処方法 |
|
|
主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Nuwar.M ワームが実行されると、ワームは次のファイル名を使って自分自身を
%system% へコピーし、そのほかにも適当な名前を使い実行可能な形式でドロップします。このサイズは6295バイトです。
ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。このキーには、ワームが実行する場所を含んでいます。
|
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Agent |
|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Agent |
■電子メール経由の拡散について
ワームはさらに拡散するために、電子メールアドレスを取得する手段として、次の拡張子のうちの1つのローカルファイルで捜す行動をとります。
次の文字列を含むアドレスは避けます。
電子メールの送信先(Sender)は、次の文字列のいくつかが使用されます。
|
Aldora
Alysia
Amorita
Anita
April
Ara
Aretina
Barbra
Becky
Bella
Bettina
Blenda
Briana
Bridget
Caitlin
Camille
Cara
Carla
Carmen
Clarissa
Damita
Danielle
Daria
Diana
Donna
Dora
Doris
Ebony
Eden
Eliza
Emily
Erika
Eve
Evelyn
Faith
Gale
Gilda
Gloria
Haley
Helga
Holly
Chelsea
Ida
Idona
Iris
Isabel
Ivana
Ivory
Janet
Jewel
Joanna
Julie
Juliet
Kacey
Kali
Kara
Kassia
Katrina
Kyle
Lara
Laura
Linda
Lisa
Lolita
Lynn
Maia
Mary
Melody
Mimi
Myra
Nadia
Naomi
Natalie
Nicole
Nina
Nora
Nova
Olga
Olivia
Pamela
Peggy
Queen
Rae
Rachel
Rita
Rosa
Ruby
Sharon
Silver
Ula
Uma
Valda
Valora
Vanessa
Vicky
Violet
Vivian
Wendy
Willa
Xandra
Xenia
Xylia
Zenia
Zilya
Zoe |
電子メールの件名(Subject)は、次のうちの1つです。
電子メールの本文(Body)は、何も書かれていません。
添付ファイルはワームの実行形式ファイルで、次のファイル名です。
■その他の情報
次のアプリケーションが停止されます。
|
anti
avg
avp
blackice
f-pro
firewall
hijack
lockdown
mcafee
msconfig
nav
nod32
rav
reged
spybot
taskmgr
troja
viru
vsmon
zonea |
ワームは、インターネットからさまざまなファイルのダウンロードを試みます。そのファイルは実行されます。
|