News:ニュース速報 | 2002年7月3日 07:56 PM 更新 |
シマンテックはこのほど、新種ウイルス「W32.Doal.Trojan」と「W32.Duni.Worm」が見つかったとして警告を出した。両ウイルスとも危険度は「1」(「5」が最も深刻)としている。
W32.Doal.Trojan
Windows XPの「キー生成プログラム」を装うトロイの木馬。2001年9月に見つかった「W32.Whiter.Trojan」と同じ手口だ。「Kazaa」「Morpheus」などP to P型ファイル共有ネットワークを介して拡散する。
ファイル共有ネットワークユーザーに「Windows XP Home Edition Keygen.exe」というWindows XPの「キー生成プログラム」を装ったファイルをダウンロードさせることで繁殖する。ただし、ファイル名は変更されている可能性もあるという。ファイルのアイコンは次のように表示される。
ファイルはインストーラ作成ソフト「Vise」で圧縮されている。実行すると、Program Filesディレクトリに「Windows XP Home Keys」と「Common Files\Software」というフォルダを作成。両フォルダにそれぞれ「Windows XP Home Edition Serials.diz」と「Load.exe」というファイルを作成する。
また「HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run」レジストリに「Microsoft Tasks C:\Program Files\Common Files\Software\Load.exe」という値を追加。Windowsの起動時に同ウイルスが実行できるようにする。
その後、Windowsを起動すると、Load.exeが起動し、「Win.com」「Autoexec.bat」ファイルとWindows\Systemフォルダ内の.dllファイルを削除する。
W32.Duni.Worm
電子メールの添付ファイルとして届くワーム。件名は「Esta si que es zorra!!!」「peliculas porno.」などのスペイン語、添付ファイル名は「zorrita.cpl」「analpasswords.cpl」など拡張子に「.cpl」が付いた形となる。
ワームを実行すると、ルートディレクトリとWindowsディレクトリに自身のコピーを作成。ファイル名は「1708.cpl」のようにランダムな数字に.cplの拡張子を付けたものとなる。
また「HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run」レジストリに、「(作成したコピーのファイル名) rundll32.exe shell32.dll,Control_RunDLL C:\WINDOWS\(コピーのファイル名.cpl)」という値を追加し、Windowsの起動時にワームが自動実行されるように設定する。
その後MSN Messengerのメンバーリストに登録されているメールアドレスすべてに自身のコピーを送信する。
メールの送信に成功すると、Windowsディレクトリに「zero.exe」というファイル名で自身のコピーを作成する。
さらにKazaaの共有フォルダを探し、「AgeOfEmpires2_Crack.cpl」「Britney_spearsVSDavidBeckham_AnalPasions.cpl」「fullvideo_anal_action.zip .cpl」などのファイル名で自身のコピーを作成する。
またアンチウイルスソフトを無効にしようとするほか、Program Filesディレクトリ内の「perav\per.dll」やWindowsディレクトリ内の「PAV.EXE」「\system32\vshield.vxd」などのファイルを削除する。
関連リンク
[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.