キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/Womble.A


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Womble.A	公開日：2006年10月17日
このウイルスに関する危険度 :■■□□□

定義名称	Win32/Womble.A ※このメッセージはシグネチャ検査による結果の場合に表示する名称です。
種別	ワーム
対応定義ファイル	バージョン 1.1731
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのワームを利用した亜種が検出された場合は、「Win32/Womble ワームの亜種」という名称で警告が出ます。
影響受けるプラットフォーム	Microsoft Windows
概要	Win32/Womble.Aは、電子メールを通じて感染を広げるワームです。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。

また、このワームはシステムの脆弱さを利用するタイプですので、Microsoft Update(Windows Update)を必ず実施してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Womble.A ワームが実行されると、ワームは自分自身を %system% にコピーし、次のサブフォルダを作成します。

%userprofile%\Local Settings\Application Data\Microsoft\WinTools\

次の名前は、次の内の1つです。

dvd
dvd_info
free
lunch
l_this
mp3
new_mp3
new_video
photo
sh_docs
take_it
video
xxx

2つのファイルがフォルダにドロップされます。次の文字列の内のいくつかは、ファイル名の作成に用いられます。

dvd
dvd_info
free
lunch
l_this
mp3
new_mp3
new_video
photo
sh_docs
take_it
video
xxx

ファイルのうちの1つは、ワームのコピーです。ファイル名は、次の拡張子のうちの1つです。

.exe
.pif

他には、WMFファイルでドロッパーとして用いられます。さらに、Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001) に関連した脆弱さを利用します。このファイルサイズは、80KBです。ファイル名は、次の拡張子のうちの1つです。

.jpg
.wmf

ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ms_net_update
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ms_net_update

この登録に含まれているパスは、ワームの実行場所を示します。

■電子メール経由の拡散について

ワームはさらに拡散するために、次の拡張子の1つのローカルファイルより電子メールアドレスを捜します。

.wab

電子メールの件名(Subject)は、次の内の1つです。

Action
Beauty
Bush
FIFA
Helo
Hi
important
Incredible!!
info
Kiss
Laura
Laura and John
Lola
Look at this!!!
Miss Khan
Nataly
Ola
Olympus
Paula
pic
pics
private
private pics
read this
RE:
Re:
Re: hi
Re: info
RE: pic
Robert
Sex
!!

電子メールの本文(Body)は、次のうちのいずれかを使います。

	There is some info in the attached file !!!
	Zip P A S S : %variable%

添付ファイルは、ZIP形式の圧縮ファイルです。このファイルはパスワード保護されている場合があります。ファイル名は次の文字列より組み合わせて作られます。

about_windows
antispam
congratulations
firefox_update
free_antivirus
free_anti_spyware
google_info
google_tool
ie_update
inet
jpg
mail_control
mails_list
ms_office_update
net_update
new_picture
new_win_patch
passw
picture
pif
remove_spyware
some_info
wmf
www
yahoo_info
yahoo_tool
your_friends

この圧縮ファイルには、実行可能なファイルもしくは、WMFドロッパーが含まれています。