 |
|
検出した場合の対処方法 |
|
|
主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Stration.FG ワームが実行されると、ワームは次のファイル名を使って自分自身を %windir%
へコピーします。
次のファイルは、同じフォルダにドロップされます。
| |
t2serv.dll
t2serv.wax
t2serv.z
t2serv.s |
次のファイルは、%system% フォルダにドロップされます。
| |
dminspxc.exe
e1.dll
insehype.dll
rdchtool.dll |
ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。
| |
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"
t2serv" = "%windir%\t2serv.exe" |
また、次のレジストリも登録します。
| |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows]
"
AppInit_DLLs" = "rdchtool.dll e1.dll" |
■電子メール経由の拡散について
ワームはさらに拡散するために、電子メールアドレスを取得する手段として、次の拡張子のうちの1つのローカルファイルで捜す行動をとります。
| |
adb
asp
cfg
cgi
dbx
dhtm
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xml |
次の文字列を含むアドレスは避けます。
| |
.edu
.gov
.mil
@avp
@foo
admin
anyone@
apache
berkeley
bugs@
cafee
certific
contact
contract@
example
fido
gold-certs
google
help
help@
ibm.com
icrosoft
info@
kasp
kernel
linux
local
master
mozilla
mydomai
news
nobody
noone
noreply
panda
privacy
rating
rfc-ed
ripe.
root@
samples
secure
sendmail
service
somebody
someone
spam
support
unix
update
usenet
winrar
winzip
your |
電子メールの件名(Subject)は、次のうちの1つです。
| |
Error
Good day
hello
Mail Delivery System
Mail server report.
Mail Transaction Failed
picture
Server Report
Status
test |
電子メールの本文(Body)は、次のうちの1つです。
| |
■本文1
Mail transaction failed.
Partial message is available. |
| |
■本文2
Mail server report.
Our firewall determined the e-mails containing
worm copies are being sent from your computer.
Nowadays it happens from many computers,
because this is a new virus type (Network
Worms).
Using the new bug in the Windows, these
viruses infect the computer unnoticeably.
After the penetrating into the computer the
virus harvests all the e-mail addresses and
sends the copies of itself to these e-mail
addresses
Please install updates for worm elimination
and your computer restoring.
Best regards,
Customers support service |
| |
■本文3
The message contains Unicode
characters and has been sent
as a binary attachment. |
| |
■本文4
The message cannot be represented
in 7-bit ASCII encoding
and has been sent as a binary attachment |
添付ファイルはワームの実行形式ファイルもしくはZIP形式で圧縮されたファイルで、ファイル名は次のうちのいずれかです。
| |
body
doc
file
message
readme
test
Update-KB1203-x86
Update-KB1375-x86
Update-KB1656-x86
Update-KB1781-x86
Update-KB1968-x86
Update-KB2875-x86
Update-KB2937-x86
Update-KB6843-x86
Update-KB7578-x86
Update-KB7687-x86
Update-KB8203-x86
Update-KB9093-x86
Update-KB9171-x86
Update-KB9765-x86
Update-KB9812-x86
|
もし、圧縮ファイルが添付されている場合は、次の拡張子を使います。
もし、実行形式ファイルが添付されている場合は、2重拡張子(「ファイル名.xxx.yyy」)を使います。その時の最初の拡張子は次の通りです。
実際に使用される後の拡張子は、次の通りです。
(これらは、エクスプローラの拡張子表示設定により見ることができます。)
|
