| News:ニュース速報 | 2002年6月24日 03:34 PM 更新 |
RealPlayerを装う新種ワームに注意
シマンテックはこのほど、新種ワーム「W32.HLLW.Kazmor」が見つかったとして警告を出した。共有ネットワークドライブやKazaaを介して拡散する
シマンテックはこのほど、新種ワーム「W32.HLLW.Kazmor」が見つかったとして警告を出した。共有ネットワークドライブやKazaaを介して拡散する。感染するのはWindowsのみで、危険度は「1」としている。
クラッカーが侵入先のPCをコントロールできるようにするバックドア型ワーム。共有ネットワークドライブのスタートメニューにRealPlayerを装った自身のコピーを作成するほか、Kazaaのネットワークを介して、ユーザーに有名な映画、ゲーム、ソフトウェアを装ったファイルをダウンロードさせることで繁殖する。
同ワームを起動すると、「Msvxd.vbs」というVBスクリプトファイルの作成する。同ファイルはランダムに選択したIPアドレス上に存在する共有ドライブを探し、自身のコピーを「\Windows\Start Menu\Programs \Startup\Real Player.exe」として作成する。
またKazaaの共有フォルダを探し、自身のコピーを作成する。ファイル名は「[tmd]star wars episode 2 - attack of the clones [1of1]」「[DiVX] Harry Potter and the sorcerors stone」「Sony Play station boot disc」「How to hack websites」「Internet and Computer Speed Booster」など。
同ワームは自身のコピーをWindows.exeとして、Windowsディレクトリなどに作成する(ディレクトリは可変)。また「HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run」レジストリに、「Windows C:\%Windows%\Windows」(%Windows%は可変)という値を追加する。これにより、Windowsの起動ごとにワームが実行される。
その後、ランダムに選択したTCP/UDPポートを開き、クラッカーに接続を試みる。クラッカーはIPパケット攻撃の送信、スプーフィングしたIPパケットの任意のIPアドレスへの送信、ファイルのダウンロードを指示できるほか、感染したPCからパスワード・OSのバージョン・PC名・CPU速度・共有情報などを盗み出すことができるという。
関連記事
Kazaaを媒介にする「Kwbot」ワームなどに注意
KazaaネットワークをBenjaminワームが襲う関連リンク
「W32.HLLW.Kazmor」情報[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。