News:ニュース速報 2002年6月26日 08:10 PM 更新

“ZDnetウイルス”に注意

シマンテックは6月26日、新種ワーム「W32.MyPower.B@mm」「W32.Dotor.A@mm」が見つかったとして警告を出した

 シマンテックは6月26日、新種ワーム「W32.MyPower.B@mm」「W32.Dotor.A@mm」が見つかったとして警告を出した。感染するのはWindowsのみで、両ワームとも危険度は「2」。

「W32.MyPower.B@mm」

 Visual Basicで作成されたワーム。「W32.MyPower@mm」の亜種。感染すると、Windowsのアドレス帳に登録されているアドレスに自身のコピーを添付したメールを大量に送信する。

 電子メールの件名は、

  • 「New, Patch for, Crack For, The Best」
  • 「microsoft, Borland, ZDnet」
  • 「Tucows, Windows, Program」
  • 「Animated, Protection, Saver, Fixed, Saving, Games, 3DFx Studio」

の4つのリストの中から単語をランダムに組み合わせて届く。本文は以下の6つの中からランダムに選択される。

  • 「Hey this is the program you been ask for, save it to disk and run this program, give me feed back ASAP OK...!」
  • 「Dear Customer Thanks for your attentions to our programs, we glad you like it this is the other program you been asking about, save it to Disk and run it」
  • 「Hi..friends.., check out this screen saver, it's very cute.. ;) just save to disk or run it from your current location..!」
  • 「This file is needed by your antivirus program, save it to your disk, and run this patch your Antivirus security Patch will be updated soon..!」
  • 「Dear Visitor, Thanks for submiting to our site, this is the file you ask for..:) after you run this program you can access our site with no Password required..!」
  • 「To : Microsoft Windows User Dear Users, after we analize the problems you have been asking,with this file you can fix the problem in your MS-Windows, save this file to disk, and extract it in current Folder, and you will be prompt for installation folder.., and follow program instructions.」

 添付ファイル名は「Setup98_Microsoft_patch120679.exe」「Borland_Install32_Beta080279.exe」「Install32_Beta12061979_Fixed.exe」「Install_Wizard.exe」「3DFxText_FULL281058_DEMO.exe」「Fx3d_FULL_291182_DEMO.exe」「Nude_Patch_10110001_BETA.exe」「Animations_PATCH_SETUP.scr」の中からランダムに選択される。

 添付ファイルが実行されると、次の偽メッセージを表示する。


 自身のコピーを、Aドライブに「Setup.exe」として、Cドライブのシステムディレクトリやマイドキュメントディレクトリなどに「Setup98_Microsoft_patch120679.exe」「Nude_Patch_10110001_BETA.exe」などとして作成する。

 「HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run」レジストリに「I386 C:\%System%\I386.exe」という値を追加し、Windowsの起動時にワームが自動実行されるように設定する。

 またWindowsディレクトリ内の「Win.ini」ファイルに「[EMAIL] MAILED=TRUE」というセクションを追加し、自身のコピーを添付した電子メールをWindowsのアドレス帳に登録されているすべてのメールアドレスに送信する。

 その後、同ワームはシステムディレクトリに作成したファイルの一部を削除する。

「W32.Dotor.A@mm」

 マクロウイルス対策ソフトを装ったワーム。Outlookのアドレス帳に登録されているメールアドレスに自身のコピーを大量に送信するほか、MicrosoftのWordの標準テンプレートに感染し、Word文書を介して増殖する。

 電子メールの添付ファイルとして届く。件名は「NewTool for Word Macro Virus」、本文は「This tool allows you to protect you against unknown macro virus. Click on the attached file to run this freeware. Best Regards. Have a nice day」、添付ファイル名は「Doctor.exe」。

 ワームを起動すると、「\%Windows%\Start Menu\Programs\StartUp\」ディレクトリ(%Windows%は可変)に「Doctor.vbs」というスクリプトファイルを作成する。同スクリプトファイルは、Wordの標準テンプレート「Normal.dot」に感染し、同テンプレートを介してWord文書に感染を広げる。

 また自身のコピーを「\%Windows%\」ディレクトリ(%Windows%は可変)に「Doctor.exe」として作成。「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run」レジストリに「DocTor %Windows%\Doctor.exe /newrun」という値を追加して、Windowsが起動するたびにワームが実行させるよう設定する。

 その後、Outlookのアドレス帳に登録されているメールアドレスすべてに自身のコピーを添付した電子メールを送信する。

関連リンク
▼ 「W32.MyPower.B@mm」情報
▼ 「W32.Dotor.A@mm」情報

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.