News:ニュース速報 | 2002年6月26日 08:10 PM 更新 |
シマンテックは6月26日、新種ワーム「W32.MyPower.B@mm」「W32.Dotor.A@mm」が見つかったとして警告を出した。感染するのはWindowsのみで、両ワームとも危険度は「2」。
「W32.MyPower.B@mm」
Visual Basicで作成されたワーム。「W32.MyPower@mm」の亜種。感染すると、Windowsのアドレス帳に登録されているアドレスに自身のコピーを添付したメールを大量に送信する。
電子メールの件名は、
の4つのリストの中から単語をランダムに組み合わせて届く。本文は以下の6つの中からランダムに選択される。
添付ファイル名は「Setup98_Microsoft_patch120679.exe」「Borland_Install32_Beta080279.exe」「Install32_Beta12061979_Fixed.exe」「Install_Wizard.exe」「3DFxText_FULL281058_DEMO.exe」「Fx3d_FULL_291182_DEMO.exe」「Nude_Patch_10110001_BETA.exe」「Animations_PATCH_SETUP.scr」の中からランダムに選択される。
添付ファイルが実行されると、次の偽メッセージを表示する。
自身のコピーを、Aドライブに「Setup.exe」として、Cドライブのシステムディレクトリやマイドキュメントディレクトリなどに「Setup98_Microsoft_patch120679.exe」「Nude_Patch_10110001_BETA.exe」などとして作成する。
「HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run」レジストリに「I386 C:\%System%\I386.exe」という値を追加し、Windowsの起動時にワームが自動実行されるように設定する。
またWindowsディレクトリ内の「Win.ini」ファイルに「[EMAIL] MAILED=TRUE」というセクションを追加し、自身のコピーを添付した電子メールをWindowsのアドレス帳に登録されているすべてのメールアドレスに送信する。
その後、同ワームはシステムディレクトリに作成したファイルの一部を削除する。
「W32.Dotor.A@mm」
マクロウイルス対策ソフトを装ったワーム。Outlookのアドレス帳に登録されているメールアドレスに自身のコピーを大量に送信するほか、MicrosoftのWordの標準テンプレートに感染し、Word文書を介して増殖する。
電子メールの添付ファイルとして届く。件名は「NewTool for Word Macro Virus」、本文は「This tool allows you to protect you against unknown macro virus. Click on the attached file to run this freeware. Best Regards. Have a nice day」、添付ファイル名は「Doctor.exe」。
ワームを起動すると、「\%Windows%\Start Menu\Programs\StartUp\」ディレクトリ(%Windows%は可変)に「Doctor.vbs」というスクリプトファイルを作成する。同スクリプトファイルは、Wordの標準テンプレート「Normal.dot」に感染し、同テンプレートを介してWord文書に感染を広げる。
また自身のコピーを「\%Windows%\」ディレクトリ(%Windows%は可変)に「Doctor.exe」として作成。「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run」レジストリに「DocTor %Windows%\Doctor.exe /newrun」という値を追加して、Windowsが起動するたびにワームが実行させるよう設定する。
その後、Outlookのアドレス帳に登録されているメールアドレスすべてに自身のコピーを添付した電子メールを送信する。
関連リンク
[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.