キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Stration
公開日:2006年10月20日
このウイルスに関する危険度 :■■■■□

ワーム系列名称 Win32/Stration
別名 Email-Worm.Win32.Warezov.gen (Kaspersky), W32/Stration@MM (McAfee), W32.Stration@mm (Symantec)
種別 ワーム
シグネチャ検査による結果だった場合 Win32/Stration.xx
※ xx は、そのワームの特徴に応じて名称が加えられます。
(例:Win32/Stration.AA、Win32/Stration.FGなど)
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのワームを利用した新種、亜種が検出された場合は、
「NewHeur_PE ウイルス」もしくは「Win32/Strationワームの亜種」
という名称で警告が出ます。
影響受けるプラットフォーム Microsoft Windows
概要 Win32/Strationワームのファミリーは、電子メールを通じて感染を広げるワームです。詳しい活動内容については、解説欄をご参照ください。

 

検出した場合の対処方法

主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

現在のワームの活動とNOD32の対応について

ウイルスレーダーによると、日本時間の2006年10月20日AM2:00以降、Win32/Strationの新種もしくは亜種と思われる脅威が電子メールを通じて猛威を振るう状況が見られております。この状況により、NOD32では1日で7回の定義更新が実施されています。

  2006年10月19日付けで対応したWin32/Strationワーム リスト
  

NOD32定義ファイル: 1.1817 (20061019)
Win32/Stration (2), Win32/Stration.JG (2), Win32/Stration.KF (2), Win32/Stration.KG (2), Win32/Stration.KH (3), Win32/Stration.KI (3)

NOD32定義ファイル: 1.1816 (20061019)
Win32/Stration.JX (2), Win32/Stration.JY (3), Win32/Stration.JZ (3), Win32/Stration.KA (2), Win32/Stration.KB (3), Win32/Stration.KC (3), Win32/Stration.KD (3), Win32/Stration.KE (5)

NOD32定義ファイル: 1.1815 (20061019)
Win32/Stration.JJ (3), Win32/Stration.JK (3), Win32/Stration.JL (2), Win32/Stration.JM (3), Win32/Stration.JN (3), Win32/Stration.JO (2), Win32/Stration.JP (2), Win32/Stration.JQ (2), Win32/Stration.JR (2), Win32/Stration.JS (2), Win32/Stration.JT (3), Win32/Stration.JU (3), Win32/Stration.JV (2), Win32/Stration.JW (3)

NOD32定義ファイル: 1.1814 (20061019)
Win32/Stration (2), Win32/Stration.IZ (3), Win32/Stration.JA (3), Win32/Stration.JB (2), Win32/Stration.JC, Win32/Stration.JD (6), Win32/Stration.JE (3), Win32/Stration.JF (3), Win32/Stration.JG (2), Win32/Stration.JH (2), Win32/Stration.JI (3)

NOD32定義ファイル: 1.1813 (20061019)
Win32/Stration.IN (3), Win32/Stration.IO (3), Win32/Stration.IP (3), Win32/Stration.IQ (2), Win32/Stration.IR (3), Win32/Stration.IS (2), Win32/Stration.IT (2), Win32/Stration.IU (4), Win32/Stration.IV (2), Win32/Stration.IW (2), Win32/Stration.IX (2), Win32/Stration.IY (2)

NOD32定義ファイル: 1.1812 (20061019)
Win32/Stration.IC (2), Win32/Stration.ID (2), Win32/Stration.IE (2), Win32/Stration.IF (2), Win32/Stration.IG (2), Win32/Stration.IH (2), Win32/Stration.II (2), Win32/Stration.IJ (2), Win32/Stration.IK (3), Win32/Stration.IL (6), Win32/Stration.IM (2)

NOD32定義ファイル: 1.1811 (20061019)
Win32/Stration, Win32/Stration.HT (2), Win32/Stration.HU (2), Win32/Stration.HV (2), Win32/Stration.HW (2), Win32/Stration.HX (2), Win32/Stration.HY (3), Win32/Stration.HZ (6), Win32/Stration.IA (3), Win32/Stration.IB

また、本日(2006年10月20日)においてもアドバンスドヒューリスティック検査において、「NewHeur_PE ウイルス」として検知される電子メールが見つかっており、これはWin32/Stration ワームの新種と見ております。このような事態であるため監視モジュールであるAMONおよびIMON、EMONでアドバンスドヒューリスティック検査も有効な状態にしておいてください。

ウイルスレーダー : http://www.virusradar.com/

解説

ここで記載する情報は、現状ベースでのWin32/Stration ワームのファミリーを述べていますが、あくまで共通する特徴として述べているものです。Win32/Strationは多くの異なる変形が存在しており、いくつかの特性は異なる場合があります。

 

■侵入(インストレーション)について

Win32/Stration ワームが実行されると、ワームは次のファイル名を使って自分自身を %windir% へコピーします。そして、いくつかのほかのファイルが次の場所へドロップされます。

   %system%
%windir%

次のレジストリの場所にワームが実行するためのパスを登録します。

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

ワームによっては、ランダムなテキストでメモ帳ウィンドウが表示されます。

■電子メール経由の拡散について

ワームはさらに拡散するために、電子メールアドレスを取得する手段として、ローカルファイルより捜す行動をとります。電子メールの件名(Subject)は、次のうちの1つです。

   Error
Good day
hello
Mail Delivery System
Mail server report.
Mail Transaction Failed
picture
Server Report
Status
test

電子メールの本文(Body)は、次のうちの1つです。

   ■本文1
Mail transaction failed. Partial message is available.
  ■本文2
The message contains Unicode characters and has been sentas a binary attachment.
  ■本文3
The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment
  ■本文4
Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service

添付ファイルはワームの実行形式ファイルもしくはZIP形式で圧縮されたファイルで、ファイル名は次のうちのいずれかです。

   body
data
doc
docs
document
file
message
readme
test
text
Update-KB-abcd(※)-x86

(※) 「abcd」は、可変的な4桁の数字を表します。

もし、圧縮ファイルが添付されている場合は、次の拡張子を使います。

   .zip

もし、実行形式ファイルが添付されている場合は、2重拡張子(「ファイル名.xxx.yyy」)を使います。その時の最初の拡張子は次の通りです。

   dat
doc
elm
log
msg
txt

実際に使用される後の拡張子は、次の通りです。
(これらは、エクスプローラの拡張子表示設定により見ることができます。)

   bat
cmd
exe
pif
scr

■その他の情報

このワームは、いくつかのセキュリティソフトウェアを検出しようとします。また、検出すると終了させる場合があります。

ワームは、URLのリストを含んでおり、アドレスからファイルのダウンロードを試みます。ダウンロードされたファイルは実行されます。

□関連ウイルス情報

   Win32/Stration.AA
  Win32/Stration.EH
  Win32/Stration.ET
  Win32/Stration.FG


このページのトップへ

(C)Canon IT Solutions Inc.