|
|
検出した場合の対処方法 |
|
|
主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Stration.ET ワームが実行されると、ワームは次のファイル名を使って自分自身を
%windir% へコピーします。
次のファイルは、同じフォルダにドロップされます。
|
t2serv.dll
t2serv.wax
t2serv.s |
次のファイルは、%system% フォルダにドロップされます。
|
kbdaqosn.dll
mqpeh323.dll
vjoyslay.exe |
ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。
|
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"
t2serv" = "%windir%\t2serv s" |
また、次のレジストリも登録します。
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows]
"
AppInit_DLLs" = "kbdaqosn.dll e1.dll" |
ランダムなテキストでメモ帳ウィンドウが表示されます。
■電子メール経由の拡散について
ワームはさらに拡散するために、電子メールアドレスを取得する手段として、次の拡張子のうちの1つのローカルファイルで捜す行動をとります。
|
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml |
次の文字列を含むアドレスは避けます。
|
.edu
.gov
.mil
@avp
@foo
admin
anyone@
apache
berkeley
bsd
bugs@
cafee
certific
contact
contract@
example
fido
ftp
gnu
gold-certs
google
help
help@
ibm.com
icrosoft
info@
kasp
kernel
linux
local
master
mozilla
mydomai
news
nobody
noone
noreply
panda
pgp
privacy
rating
rfc-ed
ripe.
root@
samples
secure
sendmail
service
somebody
someone
spam
support
unix
update
update
usenet
winrar
winzip
www
xx
you
your |
電子メールの送信先(Sender)は、次の4つのリストにある文字列より使用されます。
|
■リスト1
sec
serv
secur |
|
■リスト2
adam
alice
anna
betty
bob
brenda
brent
brian
carol
claudia
craig
cyber
dan
dave
david
debby
den
Donn
frank
george
gerhard
helen
james
jane
jayson
jerry
jim
joe
john
karen
linda
lisa
mancy
maria
ruth
sandra
sharon
Susan |
|
■リスト3
adams
allen
anderson
baker
carter
clark
garcia
gonzalez
green
hall
harris
hernandez
hill
jackson
jeremy
joe
kenneth
king
lee
lewis
lopez
martin
martinez
miller
molly
moore
nelson
robinson
robyn
rodriguez
scott
shaan
taylor
thomas
thompson
walker
white
wilson
wright
young |
|
■リスト4
areainc.com
logoluso.com
heatwave.com
megaman.com
scholzes.com
guierfence.com
tjh.com
phazen.net
fcradio.net
niet.com
gametemple.com
midmich.net
vieng.com
elamex.com
sycamorepd.com
selectplans.com
motorsportwarehouse.com
telcan.com
iinet.net.au
firstclassmoving.com |
電子メールの件名(Subject)は、次のうちの1つです。
|
Mail server report.
Server Report
Mail Delivery System
test
picture
hello
Status
Error
Good day
Mail Transaction Failed |
電子メールの本文(Body)は、次のうちの1つです。
|
■本文1
Mail transaction failed. Partial message
is available. |
|
■本文2
The message contains Unicode characters and
has been sentas a binary attachment. |
|
■本文3
The message cannot be represented in 7-bit
ASCII encodingand has been sent as a binary
attachment |
|
■本文4
Mail server report.
Our firewall determined the e-mails
containing worm copies are being sent
from your computer.
Nowadays it happens from many computers,
because this is a new virus type (Network
Worms).
Using the new bug in the Windows, these
viruses infect the computer unnoticeably.
After the penetrating into the computer
the virus harvests all the e-mail addresses
and sends the copies of itself to these
e-mail
addresses
Please install updates for worm elimination
and your computer restoring.
Best regards,
Customers support service
|
添付ファイルはワームの実行形式ファイルもしくはZIP形式で圧縮されたファイルで、ファイル名は次のうちのいずれかです。
|
body
data
doc
docs
document
file
message
readme
test
text
Update-KB-abcd(※)-x86 |
(※)
「abcd」は、可変的な4桁の数字を表します。
もし、圧縮ファイルが添付されている場合は、次の拡張子を使います。
もし、実行形式ファイルが添付されている場合は、2重拡張子(「ファイル名.xxx.yyy」)を使います。その時の最初の拡張子は次の通りです。
実際に使用される後の拡張子は、次の通りです。
(これらは、エクスプローラの拡張子表示設定により見ることができます。)
■その他の情報
このワームは、次のアプリケーションを検出すると活動を中止します。
|
Outpost Firewall
McAfee Personal Firewall
Kerio Winroute Firewall
ZoneAlarm
Sygate Personal Firewall
Norton Internet Security |
次のプログラムは終了されます。
|
nod32krn
avginet
avgupsvc
upgrader
drwebupw
spiderml
autodown
kav
mcupdate
tbmon
wuauclt
wuauclt1
wupdmgr |
ワームは、URLのリストを含んでおり、アドレスからファイルのダウンロードを試みます。ダウンロードされたファイルは実行されます。
|