News：ニュース速報

2002年7月3日　07:56 PM 更新

Windows XPの「キー生成プログラム」を装う新種ウイルス「Doal」

シマンテックはこのほど、新種ウイルス「W32.Doal.Trojan」と「W32.Duni.Worm」が見つかったとして警告を出した

　シマンテックはこのほど、新種ウイルス「W32.Doal.Trojan」と「W32.Duni.Worm」が見つかったとして警告を出した。両ウイルスとも危険度は「1」（「5」が最も深刻）としている。

W32.Doal.Trojan

　Windows XPの「キー生成プログラム」を装うトロイの木馬。2001年9月に見つかった「W32.Whiter.Trojan」と同じ手口だ。「Kazaa」「Morpheus」などP to P型ファイル共有ネットワークを介して拡散する。

　ファイル共有ネットワークユーザーに「Windows XP Home Edition Keygen.exe」というWindows XPの「キー生成プログラム」を装ったファイルをダウンロードさせることで繁殖する。ただし、ファイル名は変更されている可能性もあるという。ファイルのアイコンは次のように表示される。

　ファイルはインストーラ作成ソフト「Vise」で圧縮されている。実行すると、Program Filesディレクトリに「Windows XP Home Keys」と「Common Files\Software」というフォルダを作成。両フォルダにそれぞれ「Windows XP Home Edition Serials.diz」と「Load.exe」というファイルを作成する。

　また「HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run」レジストリに「Microsoft Tasks C:\Program Files\Common Files\Software\Load.exe」という値を追加。Windowsの起動時に同ウイルスが実行できるようにする。

　その後、Windowsを起動すると、Load.exeが起動し、「Win.com」「Autoexec.bat」ファイルとWindows\Systemフォルダ内の.dllファイルを削除する。

W32.Duni.Worm

　電子メールの添付ファイルとして届くワーム。件名は「Esta si que es zorra!!!」「peliculas porno.」などのスペイン語、添付ファイル名は「zorrita.cpl」「analpasswords.cpl」など拡張子に「.cpl」が付いた形となる。

　ワームを実行すると、ルートディレクトリとWindowsディレクトリに自身のコピーを作成。ファイル名は「1708.cpl」のようにランダムな数字に.cplの拡張子を付けたものとなる。

　また「HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run」レジストリに、「（作成したコピーのファイル名） rundll32.exe shell32.dll,Control_RunDLL C:\WINDOWS\（コピーのファイル名.cpl）」という値を追加し、Windowsの起動時にワームが自動実行されるように設定する。

　その後MSN Messengerのメンバーリストに登録されているメールアドレスすべてに自身のコピーを送信する。

　メールの送信に成功すると、Windowsディレクトリに「zero.exe」というファイル名で自身のコピーを作成する。

　さらにKazaaの共有フォルダを探し、「AgeOfEmpires2_Crack.cpl」「Britney_spearsVSDavidBeckham_AnalPasions.cpl」「fullvideo_anal_action.zip .cpl」などのファイル名で自身のコピーを作成する。

　またアンチウイルスソフトを無効にしようとするほか、Program Filesディレクトリ内の「perav\per.dll」やWindowsディレクトリ内の「PAV.EXE」「\system32\vshield.vxd」などのファイルを削除する。

関連リンク
「W32.Doal.Trojan」情報
「W32.Duni.Worm」情報

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.