キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/Stration.FG


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Stration.FG	公開日：2006年10月03日
このウイルスに関する危険度 :■■■□□

定義名称	Win32/Stration.FG ※このメッセージはシグネチャ検査による結果の場合に表示する名称です。
種別	ワーム
対応定義ファイル	バージョン 1.1785
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのワームを利用した亜種が検出された場合は、「Win32/Strationワームの亜種」という名称で警告が出ます。
影響受けるプラットフォーム	Microsoft Windows
概要	Win32/Stration.FGは、電子メールを通じて感染を広げるワームです。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Stration.FG ワームが実行されると、ワームは次のファイル名を使って自分自身を %windir% へコピーします。

serv.exe

次のファイルは、同じフォルダにドロップされます。

serv.dll
serv.wax
serv.s
serv.z

次のファイルは、%system% フォルダにドロップされます。

e1.dll
rasaw32t.dll
rdpwvbsc.exe
wmisshim.dll

ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
" serv" = "%windir%\serv.exe s"

また、次のレジストリも登録します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
" AppInit_DLLs" = "rwmisshim.dll e1.dll"

■電子メール経由の拡散について

ワームはさらに拡散するために、電子メールアドレスをローカルファイルで捜す行動をとります。
そして、次の件名(Subject)のいずれかを使います。

Error
Good Day
hello
Mail Delivery System
Mail server report.
Mail Transaction Failed
picture
Server Report
Status
test

メッセージ本文(Body)は、次のうちのいずれかを使います。

	Mail transaction failed. Partial message is available.
	Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Nowadays it happens from many computers, because this is a new virus type (Network Worms). Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses Please install updates for worm elimination and your computer restoring. Best regards, Customers support service
	The message contains Unicode characters and has been sent as a binary attachment.
	The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

添付ファイルはワームの実行形式ファイルもしくはZIP形式で圧縮されたファイルで、ファイル名は次のうちのいずれかです。

body
data
doc
docs
document
file
readme
test
text
Update-KB1125-x86
Update-KB2203-x86
Update-KB2781-x86
Update-KB2812-x86
Update-KB3000-x86
Update-KB4937-x86
Update-KB5093-x86
Update-KB6375-x86
Update-KB7484-x86
Update-KB1203-x86
Update-KB1375-x86
Update-KB1656-x86
Update-KB1781-x86
Update-KB1968-x86
Update-KB2875-x86
Update-KB2937-x86
Update-KB6843-x86
Update-KB7578-x86
Update-KB7687-x86
Update-KB8203-x86
Update-KB9093-x86
Update-KB9171-x86
Update-KB9765-x86
Update-KB9812-x86

もし、圧縮ファイルが添付されている場合は、次の拡張子を使います。

.zip

もし、実行形式ファイルが添付されている場合は、2重拡張子(「ファイル名.xxx.yyy」)を使います。その時の最初の拡張子は次の通りです。

.dat
.elm
.log
.msg
.txt

実際に使用される後の拡張子は、次の通りです。
(これらは、エクスプローラの拡張子表示設定により見ることができます。)

.bat
.cmd
.exe
.scr