キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/Stration.XW


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Stration.XW	公開日：2007年5月24日
このウイルスに関する危険度 :■■■□□

名称	Win32/Stration.XW
別名	Stration.XW, Email-Worm.Win32.Warezov.jq, Email-Worm.Win32.Warezov.ms, I-Worm/Stration.CSR, TR/Dldr.Stration.Gen, Trojan.Dldr.Stration.Gen, Trojan.Update-KB, TrojanDownloader:Win32/Stration!ZIP, W32.Stration@mm, W32/Downloader, W32/Strati-Gen, W32/Stration.dr, W32/Stration.gen, W32/Stration.JQ@mm, W32/Warezov.gen!W32DL, Webwasher-Gateway, Win32.HLLM.Limar, Win32.Warezov.gen, Win32.Worm.Stration.FC, Win32/Stration!ZIP!generic, Win32/Stration.XW, Win32:Warezov-BUL, Worm.Stration.pac-1
種別	ワーム
シグネチャ検査による結果だった場合	Win32/Stration.XW
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE ウイルス」もしくは「Win32/Strationワームの亜種」という名称で警告が出ます。
影響受けるプラットフォーム	Microsoft Windows
概要	Win32/Stration.XW ワームは、電子メールを通じて感染を広げるワームです。また、インターネットの他のコンポーネントをアンロードさせ、実行する能力を持ちます。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Stration ワームが実行されると、ワームは偽の致命的なエラーのメッセージを表示し、次のファイル名を使って自分自身を %windir% へコピーします。そして、いくつかのほかのファイルが次の場所へドロップされます。

%Windir%\flash.exe
%Windir%\pic.pif
%Windir%\system32\ccfgcscd.dll
%Windir%\system32\ccfgcscd.exe

また、インターネットを利用していくつかのサイトよりアーカイブをダウンロードし、次の場所にファイルが作られる場合があります。

%Windir%\system32\flash.exe
%Windir%\system32\pic.pif

%TEMP%\aew75q.exe
%TEMP%\58ikv9ga.pif
%TEMP%\at5htnin.pif
%TEMP%\dovbiiga.pif
%TEMP%\k5xmv636.exe

次のレジストリの場所にワームが実行するためのパスを登録します。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ccfgcscd

次の拡張子のアーカイブを探します。

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

次のプロセスに従って行動を取り、Windows セキュリティセンターとの調和を行います。

wscsvc

■電子メール経由の拡散について

ワームはさらに拡散するために、電子メールアドレスを取得する手段として、ローカルファイルより捜す行動をとります。電子メールの件名(Subject)は、次のうちの1つです。

Error
Good day
hello
Mail Delivery System
Mail server report
Mail Transaction Failed
picture
Server Report
Status
test

電子メールの本文(Body)は、次のうちの1つです。

	■本文1 [本文が空で何も書かれていません]
	■本文2 Mail transaction failed. Available Partial message is.
	■本文3 The message cannot be represented in 7-bit ASCII encoding and you have been sent ace to binary attachment.
	■本文4 The message contains Unicode characters and you have been sent ace to binary attachment.
	■本文5 Mail server report. Our firewall determined the e-mails containing worm you copy sent plows being from your to computer. Nowadays it happens from many computers, because this is a new virus type (Worms Network). Using the new bug in the Windows, these viruses infect the to computer unnoticeably. After the penetrating into the to computer the virus harvests all the email addresses and sends the you copy of itself to addresses these email For Please install updates worm elimination and your to computer restoring. Best regards, Customers support service

添付ファイルはワームの実行形式ファイルもしくはZIP形式で圧縮されたファイルで、一部を除いて二重拡張子です。ファイル名は次のうちのいずれかです。

data.[拡張子1].[拡張子2]
body.[拡張子1].[拡張子2]
data.[拡張子1].[拡張子2]
doc.[拡張子1].[拡張子2]
docs.[拡張子1].[拡張子2]
document.[拡張子1].[拡張子2]
file.[拡張子1].[拡張子2]
message.[拡張子1].[拡張子2]
readme.[拡張子1].[拡張子2]
test.[拡張子1].[拡張子2]
text.[拡張子1].[拡張子2]
Update-KB????-x86.exe

(※) 「????」は、可変的な4桁の数字を表します。

もし、圧縮ファイルが添付されている場合は、次の拡張子を使います。

.zip

もし、実行形式ファイルが添付されている場合は、2重拡張子(「ファイル名.xxx.yyy」)を使います。その時の最初の拡張子[拡張子1]は次の通りです。

dat
elm
log
msg
txt

実際に使用される後の拡張子は、次の通りです。
(これらは、エクスプローラの拡張子表示設定により見ることができます。)

bat
cmd
exe
pif
scr

□関連ウイルス情報

	Win32/Stration.AA
	Win32/Stration.EH
	Win32/Stration.ET
	Win32/Stration.FG