Win32:Warezov ファミリー
Win32:Warezov はバックドア機能を持つ大量メール送信型ワームのファミリーです。
| 概要 | |
|---|---|
| 型 | ワーム |
| 通称 | W32.Stration |
| プラットフォーム | Windows |
解説
Win32:Warezov が実行されると %WINDOWS% と %SYSTEM% ディレクトリ内にいくつかの実行ファイルを作成します (その数とファイル名は Win32:Warezov のバージョンによります。 これらのファイルも Win32:Warezov として検出されます。 Win32:Warezov はノートパッドを開き、テキストファイルにでたらめな文字を表示します。
Win32:Warezov は以下にレジストリを作成することによって Windows が起動するたびに実行します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Win32:Warezov は電子メールアドレスを検索します。 発見された電子メールのアドレスは保存され、ウイルスが自分自身をメールの添付ファイルとして送信するために使用されます。 Win32:Warezov が電子メールを送信する際には次のような特徴があります:
- 件名 (いずれかひとつ):
- Error
- Good Day
- hello
- Mail Delivery System
- Mail Transaction Failed
- picture
- Server Report
- Status
- test
- 本文 (いずれかひとつ):
- Mail transaction failed. Partial message is available.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
- The message contains Unicode characters and has been sent as a binary attachment.
- 添付ファイル名は3つの部分より成り立っていて、それぞれの部分は以下の列のうちのひとつです (2番目の部分の後にスペースがあり、3番目に続きます)。 例えば、'Update-KB1234-x86.msg .cmd' などが挙げられます。
ファイル名の構成 1番目: ファイル名 2番目: 偽の拡張子 3番目: 真の拡張子 body .dat .bat data .eml .cmd doc .log .exe docs .msg .pif document .txt .scr file message readme test text Update-KB[任意の数字]-x86
Win32:Warezov の亜種の多くがその他の危険な、または不必要なアプリケーションをトロイの木馬やアドウェアとしてダウンロードすることができます。 亜種の多くはセキュリティ関連製品を無効にしたり、ホストファイルに行を追加することによってアップデートを無効にしたり、セキュリティ関連のウェブサイトを無効にしたりすることがあります (例えば ‘127.0.0.1 download.microsoft.com’)。
Win32:Warezov はコンピュータの遠隔操作を許可するバックドアサーバを提供しています。
コメント: %WINDOWS% は Windows インストレーションのフォルダのことです。 デフォルトでは C:\Windows (Windows 95, 98, Me, Xp) または C:\Winnt (Windows NT, 2000) です。 %SYSTEM% は Windows システムフォルダのことです。 デフォルトでは C:\Windows\System (Windows 95, 98, Me) または C:\Winnt\system32 (Windows NT, 2000) または C:\Windows\System32 (Windows XP) です。
検知/除去
Win32:Warezov は急速に増大しているファミリーです。 VPS ファイル を定期的に更新してください。
