News:ニュース速報 2002年6月21日 04:21 PM 更新

Kazaaを媒介にする「Kwbot」ワームなどに注意

シマンテックはこのほど、ファイル共有ネットワーク「Kazaa」を介して感染する新種ワーム「W32.Kwbot.Worm」が見つかったとして警告を出した

 シマンテックはこのほど、ファイル共有ネットワーク「Kazaa」を介して感染する新種ワーム「W32.Kwbot.Worm」が見つかったとして警告を出した。感染するのはWindows版Kazaaのユーザーのみで、危険度は「1」としている。

 クラッカーが侵入先のPCをコントロールできるようにするバックドア型ワーム。有名な映画、ゲーム、ソフトウェアファイルを装ったファイルをユーザーにダウンロードさせることで繁殖する。

 ファイル名は「Star Wars Episode 2 - Attack of the Clones VCD CD2.exe」「Spiderman SVCD CD3.exe」「Playstation 2 PS2 Emulator.exe」「Norton Internet Security 2002.exe」など。

 同ワームを起動すると、自身のコピーをExplorer32.exeとして、Systemディレクトリなどに作成する(ディレクトリは可変)。また「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run」「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices」レジストリに、「Windows Explorer Update Build 1142 C:\%SYSTEM%\EXPLORER32.EXE」という値を追加する。

 その後、ランダムに選択したTCPポートを開き、ハッカーに接続を試みる。同ワームは独自のIRCクライアントを持ち、ハッカーはサービス拒否(DoS)攻撃の実行やファイルのダウンロードなどを指示できるという。

 Kazaaユーザーは、5月に見つかった「Banjamin」(5月21日の記事参照)を含めて、注意が必要だ。

 また同社は、トロイの木馬「Backdoor.NetControle」も見つかったとして警告している。危険度は「1」。Visual Basicで作成され、Windowsにのみ感染する。

 同ワームを起動すると、次のメッセージを表示する。


 また「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run」レジストリに、「Client ワームのファイル名」を追加する。

 その後、TCP/UDPポート1772を開き、ハッカーに接続する。ハッカーは、侵入先のPCのシャットダウンや再起動、CD-ROMドライブのトレイの開閉、タクスバーの表示、ビープ音を鳴らすなどの攻撃を実行できるという。

 さらに新種ワーム「W32.Yaha.F@mm」も見つかった。Windowsのアドレス帳やhtmlファイルなどに含まれるメールアドレスに自身のコピーを送信する。同社は危険度を「1」としているが、感染力は「高」となっている。

 同ウイルスは、電子メールの添付ファイルとして届く。件名は「Check the attachment」「I am For u」「Screensaver」などランダムな組み合わせとなる。本文は、次の3つのいづれか。

・[Hi Dear Check the attach See u See the attachement/Enjoy the attachement/More details attached]

・[This message was created automatically by mail delivery software (Exim). A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:○○ For further assistance, please contact < postmaster ○○> If you do so, please include this problem report. You candelete your own text from the message returned below. Copy of your message, including all the headers is attached.]

・[----- Original Message ----- From: "○○" <○○> To: Sent: ○○ Subject: ○○ This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message. ********************************************* Enjoy this friendship Screen Saver and Check ur friends circle... Send this screensaver from www.○○ to everyone youconsider a FRIEND, even if it means sending it back to the personwho sent it to you. If it comes back to you, then you'll know youhave a circle of friends. * To remove yourself from this mailing list, point your browser to: http://○○/remove?freescreensaver * Enter your email address (○○) in the field provided and click "Unsubscribe". OR... * Reply to this message with the word "REMOVE" in the subject line. This message was sent to address ○○ X-PMG-Recipient: ○○]

    の部分は可変。

 添付ファイル名は「loveletter.mp3.pif」「resume.xls.bat」「goldfish.jpg.scr」などランダムな組み合わせとなる。

 ワームを起動すると「U r so cute today #!#!」「True Love never ends」「I like U very much!!!」「U r My Best Friend」などの文字列を画面に表示し、スクリーンセーバーが動作しているように見せかける。

 またゴミ箱ディレクトリにランダムな4文字の名前にb.dllを加えたファイルを、Windowsディレクトリにテキストファイルを作成する。さらに「HKEY_LOCAL_MACHINE\Software\ Classes\exefile\shell\open\command」レジストリを、「[ワーム名]"%1%*」に変更する。

 その後、Windowsのアドレス帳、MSN Messengerのメンバーリスト、Yahooページャーのリスト、ICQリスト、.html/.htmなどの拡張子を持つファイル内に含まれるすべてのメールアドレスに自身のコピーを送信する。またアンチウイルスソフトやファイアウォールのプロセスの停止を試みるという。

関連記事
▼ IMウイルスを甘く見ちゃいけない
▼ KazaaネットワークをBenjaminワームが襲う

関連リンク
▼ 「W32.Kwbot.Worm」情報
▼ 「Backdoor.NetControle」情報
▼ 「W32.Yaha.F@mm」情報

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.