|
|
検出した場合の対処方法 |
|
|
主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Stration.FG ワームが実行されると、ワームは次のファイル名を使って自分自身を %windir%
へコピーします。
次のファイルは、同じフォルダにドロップされます。
|
serv.dll
serv.wax
serv.s
serv.z |
次のファイルは、%system% フォルダにドロップされます。
|
e1.dll
rasaw32t.dll
rdpwvbsc.exe
wmisshim.dll |
ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。
|
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
" serv" = "%windir%\serv.exe s" |
また、次のレジストリも登録します。
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows]
" AppInit_DLLs" = "rwmisshim.dll e1.dll" |
■電子メール経由の拡散について
ワームはさらに拡散するために、電子メールアドレスをローカルファイルで捜す行動をとります。
そして、次の件名(Subject)のいずれかを使います。
|
Error
Good Day
hello
Mail Delivery System
Mail server report.
Mail Transaction Failed
picture
Server Report
Status
test |
メッセージ本文(Body)は、次のうちのいずれかを使います。
|
Mail transaction failed. Partial message is
available. |
|
Mail server report.
Our firewall determined the e-mails containing
worm copies are being sent from your computer.
Nowadays it happens from many computers, because
this is a new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses
and sends the copies of itself to these e-mail
addresses
Please install updates for worm elimination
and your computer restoring.
Best regards,
Customers support service |
|
The message contains Unicode characters and
has been sent
as a binary attachment. |
|
The message cannot be represented in 7-bit ASCII
encoding
and has been sent as a binary attachment |
添付ファイルはワームの実行形式ファイルもしくはZIP形式で圧縮されたファイルで、ファイル名は次のうちのいずれかです。
|
body
data
doc
docs
document
file
readme
test
text
Update-KB1125-x86
Update-KB2203-x86
Update-KB2781-x86
Update-KB2812-x86
Update-KB3000-x86
Update-KB4937-x86
Update-KB5093-x86
Update-KB6375-x86
Update-KB7484-x86
Update-KB1203-x86
Update-KB1375-x86
Update-KB1656-x86
Update-KB1781-x86
Update-KB1968-x86
Update-KB2875-x86
Update-KB2937-x86
Update-KB6843-x86
Update-KB7578-x86
Update-KB7687-x86
Update-KB8203-x86
Update-KB9093-x86
Update-KB9171-x86
Update-KB9765-x86
Update-KB9812-x86 |
もし、圧縮ファイルが添付されている場合は、次の拡張子を使います。
もし、実行形式ファイルが添付されている場合は、2重拡張子(「ファイル名.xxx.yyy」)を使います。その時の最初の拡張子は次の通りです。
実際に使用される後の拡張子は、次の通りです。
(これらは、エクスプローラの拡張子表示設定により見ることができます。)
|