キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)
最新ウイルス情報 : Win32/Stration.AA
公開日:2006年10月06日
このウイルスに関する危険度 :■■■□□

定義名称 Win32/Stration.AA
※このメッセージはシグネチャ検査による結果の場合に表示する名称です。
別名 Email-Worm.Win32.Warezov.o (Kaspersky)
種別 ワーム
対応定義ファイル バージョン 1.1735
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのワームを利用した亜種が検出された場合は、「Win32/Strationワームの亜種」という名称で警告が出ます。
影響受けるプラットフォーム Microsoft Windows
概要 Win32/Stration.AAは、電子メールを通じて感染を広げるワームです。詳しい活動内容については、解説欄をご参照ください。

 

検出した場合の対処方法

主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Stration.AA ワームが実行されると、ワームは次のファイル名を使って自分自身を %windir% へコピーします。

   rsmbx.exe

次のファイルは、同じフォルダにドロップされます。

   rsmbx.dll
rsmbx.gfx
rsmbx.wax

次のファイルは、%system% フォルダにドロップされます。

   cmut449c14b7.dll
hpzl449c14b7.exe
msji449c14b7.dll

ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" rsmbx" = "%windir%\rsmbx.exe s"

また、次のレジストリも登録します。

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
" AppInit_DLLs" = "msji449c14b7.dll"

ランダムなテキストでメモ帳ウィンドウが表示されます。

■電子メール経由の拡散について

ワームはさらに拡散するために、電子メールアドレスを取得する手段として、次の拡張子のうちの1つのローカルファイルで捜す行動をとります。

   .adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

次の文字列を含むアドレスは避けます。

   .edu
.gov
.mil
@avp
@foo
admin
anyone@
berkeley
bsd
bugs@
cafee
certific
contact
contract@
example
fido
gnu
gold-certs
google
help
help@
ibm.com
icrosoft
info@
kasp
kernel
linux
local
master
mozilla
mydomai
news
nobody
noone
noreply
panda
pgp
pch
privacy
rating
rfc-ed
ripe.
root@
samples
secure
sendmail
service
smbdy
smn
spam
support
unix
update
update
usnt
winrar
winzip
www
xx
yu
yur

次の3つのリストから文字列を使い、差出人(送信アドレス)として扱われることがあります。

  

■リスト1
adam
alice
anna
betty
bob
brenda
brent
brian
carol
claudia
craig
cyber
dan
dave
david
debby
den
Donn
frank
george
gerhard
helen
helen
james
jane
jayson
jerry
jim
joe
john
karen
linda
lisa
mancy
maria
ruth
sandra
sharon
Susan
  ■リスト2
adams
allen
anderson
baker
carter
clark
garcia
gonzalez
green
hall
harris
hernandez
hill
jackson
jeremy
joe
kenneth
king
lee
lewis
lopez
martin
martinez
miller
molly
moore
nelson
robinson
robyn
rodriguez
scott
shaan
taylor
thomas
thompson
walker
white
wilson
wright
young
  ■リスト3
gmail.com
inbox.com
fasmail.fm
yahoo.com
mail.aim.com
mail.lycos.com
care2.com
goowy.com
hotmail.com
email.myway.com

ランダムな文字列が使われることもあります。

電子メールの件名(Subject)は、次のうちの1つです。

   hello
picture
Server Report
Status
test
Good day
Error
Mail Delivery System
Mail Transaction Failed

電子メールの本文(Body)は、次のうちの1つです。

   Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sentas a binary attachment.
  The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment

添付ファイルは、ワームの実行可能な形式です。ワームのファイル名は次のうちの1つです。

   body
data
doc
docs
document
file
message
readme
test
text

また、ファイルは2重拡張子(「ファイル名.xxx.yyy」)を使います。その時の最初の拡張子は次の通りです。

   dat
doc
elm
log
msg
txt

実際に使用される後の拡張子は、次の通りです。
(これらは、エクスプローラの拡張子表示設定により見ることができます。)

   bat
cmd
exe
pif
scr

このページのトップへ

(C)Canon IT Solutions Inc.