 |
|
検出した場合の対処方法 |
|
|
主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
このワームは、多様体を持つ一連のコンポーネントの一部であり(この中にはWin32/Fuclip
トロイで検出される場合もあります)、拡張子が exe ファイルおよび scr ファイルの実行可能なファイルに影響を与えます。これらのファイルを
実行可能なRAR形式にアーカイブしたり、ほかの悪意のあるアーカイブを実行することがあります。
Win32/Nuwar.S ワームが実行されると、ワームは次のファイル名を使って自分自身を
%system% へコピーします。このコピーは Win32/Fuclip トロイの変形です。
| |
wincom32.ini |
| |
wincom32.sys |
トロイは、次のファイルのプロセスに自分自身をインジェクトします。
トロイは、Windowsのサービスを開始する毎に実行できるよう、次のレジストリを登録します。
| |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINCOM32 |
| |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32 |
トロイは、インターネット経由の共有を有効にし、Windows ファイアウォール サービスを無効にするために次の修正をします。
| |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "4" |
■電子メール経由の拡散について
スパム配信のように大量の電子メールを不特定多数に送信されます。
電子メールの件名(Subject)は、次のうちの1つです。
| |
A Little (sex) Card
A Romantic
Place
A Special Kiss
All For You
Breakfast in Bed Coupon
For You
Happy World Religion Day!
Hugging My Pillow
I am Complete
I Believe
I Love You So
Moonlit Waterfall
Most Beautiful Girl
Safe and Sound
So in Love
Someone at Last
The Dance of Love
The Miracle of Love
Vacation Love
Want to Meet?
We Are Different
We Have Walked
Wrapped Up
You Asked Me Why
You"re Soo kissable |
電子メールの本文(Body)は、何も書かれていません。
添付ファイルはワームの実行形式ファイルで、次のファイル名です。
■その他の情報
実行中のプロセス名に次の名前が含まれるアプリケーションが停止されます。
| |
blackice
firewall
f-pro
Hijack
lockdown
Mcafee
msconfig
nod32
reged
Registry Editor
spybot
troja
vsmon
zonea |
ワームは、インターネットからさまざまなファイルのダウンロードを試みます。そのファイルは実行されます。
□関連ウイルス情報
|
