 |
|
検出した場合の対処方法 |
|
|
主にSkype アプリケーションの通信中にこのワームが送られてきた場合、AMONによる監視で検出します。検出した場合は必ず削除をしてください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Persky.A ワームが実行されると、ワームはJPEG形式ファイルを
%temp% へドロップします。ファイルの名前は実行可能なオリジナルのファイル名で拡張子のみが.jpgに代わります。ワームは、ユーザーが標準で使用している画像表示ソフトウェアを開きます。
また、適当な名前で実行可能なファイルが同じフォルダにドロップします。
次のファイルは、%system% もしくは、%temp%にドロップされます。このファイルは、Internet
Explorerのブラウザヘルパオブジェクトとして登録されます。
次のファイルは、%system% フォルダにドロップされます。
| |
kbdaqosn.dll
mqpeh323.dll
vjoyslay.exe |
ワームは、さまざまな情報をレジストリに記録します。
| |
HKEY_CURRENT_USER\Software\SkypeWorm\cfg |
■拡散について
このワームは、もしSkype がシステムが感染していることを見つけると、すべてのSkype
接続に対して、URLを含めたメッセージを送信します。そのメッセージの内容は次のうちの1つです。
| |
(devil)
(rofl)
:)
:D
bet cia nesveikai
kaip tau tokia? :D
labas
matei kur sandros foto idejo?
netau cia
oi netau cia turejo but sory
paziurek kokia foto andrius atsiunte
pz ane?
uj netau sry
ziurek kur sandros foto imeciau |
URLの場所は、Win32/Persky.Aに接触させるための悪意のある内容を含んでいます。
|
