ウイルス情報

かかりやすさ:中

( Worm.LovGate.ae )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2004年7月1日(木)
■感染したらどうなる
  • パソコン内のメールアドレスを自動で探し出し、自身のエンジンを使用して、ウイルスを添付したメールを送信するだけでなく、「Microsoft Outlook」または、「Outlook Express」の受信トレイの未読メッセージから、ウイルスを添付したメッセージを返信する可能性もあります。また、Windowsの脆弱性である、RPC Interface Buffer Overflow (7.17.03)[MS03-026]を利用して、ネットワーク上の他のマシンに感染します。
■感染しないためには
  • メールに添付された添付ファイルを実行しないようにしてください。使用される拡張子は「.EXE、.PIF、.SCR、.ZIP」です。詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。
    2通りの送信方法があります。

    自身のSMTPエンジンを使用してメールを送信する場合
    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。

    件名:以下のいずれかの可能性があります。
    hi
    hello
    Hello
    Mail transaction Failed
    mail delivery system

    本文:以下のいずれかの可能性があります。
    Mail failed. For further assistance, please contact!
    The message contains Unicode characters and has been sent as a binary attachment.
    It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.

    Microsoft Outlookまたは、Outlook Express の受信トレイの未読メッセージから返信する場合
    件名:Re:(元のメッセージの件名)

    本文:元のメッセージに以下を返信します。
    ======
    オリジナルメッセージの本文
    ======
    Mail auto-reply:

    If you can keep your head when all about you
    Are losing theirs and blaming it on you;
    If you can trust yourself when all men doubt you,
    But make allowance for their doubting too;
    If you can wait and not be tired by waiting,
    Or, being lied about,don't deal in lies,
    Or, being hated, don't give way to hating,
    And yet don't look too good, nor talk too wise;
    ... ... more look to the attachment.

    > Get your FREE YAHOO.COM Mail now! <

    ※返信後に未読メッセージは削除されます。

    添付ファイル:ランダムなファイル名で、以下の拡張子の可能性があります。
    .EXE
    .PIF
    .SCR
    .ZIP
  • レジストリの値を作成
    添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。

    以下に自分自身をコピーします。
    C:\COMMAND.EXE
    %WinDir%\SYSTRA.EXE
    %WinDir%\SVCHOST.EXE.EXE
    %WinDir%\System32\IEXPLORE.EXE
    %WinDir%\System32\KERNEL66.DLL
    %WinDir%\System32\RAVMOND.exe
    %WinDir%\System32\HXDEF.EXE
    %WinDir%\System32\UPDATE_OB.EXE
    %WinDir%\System32\TKBELLEXE.EXE

    システムディレクトリに以下が作成されます。
    MSJDBC11.DLL
    MSSIGN30.DLL
    ODBC16.DLL
    LMMIB20.DLL

    ZIP圧縮形式の自身のコピーを作成される可能性もあります。拡張子は「.ZIP、.RAR」です。
    以下の文字列を含む、さまざまなファイル名が作成されます。
    password
    email
    book
    letter
    bak
    work
    Important

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Hardware Profile = %SysDir%\HXDEF.EXE
    WinHelp = %SysDir%\IEXPLORE.EXE
    Program In Windows = %SysDir%\IEXPLORE.EXE
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    run = RAVMOND.exe

    また、サービスを起動するために以下のレジストリの値を作成します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
    SystemTra = %WinDir%\SysTra.exe
    COMM++System = %WinDir%\SVCHOST.EXE

    システム起動時に、バックドアコンポーネントを実行するために、以下のレジストリの値を作成します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    VFW Encoder/Decoder Settings = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
    Protected Storage = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

    %SysDir%は、システムディレクトリです。
    %WinDir%は、ウィンドウズディレクトリです。
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
  • 以下の文字列を含むプログラムを強制終了します。
    rising
    SkyNet
    Symantec
    McAfee
    Gate
    Rfw.exe
    RavMon.exe
    kill
    Duba
  • ネットワークを介した繁殖
    リモート共有に以下をコピーし、特定のユーザ名、パスワードを使用して、リモート共有に接続を試みます。
    ADMIN$\SYSTEM32\NETMANAGER.EXE

    以下のようにサービスとして、自動実行されます。
    サービス名:Windows Management NetWork Service Extensions
    実行ファイルのパス:NetManager.exe -exe_start
    種類:自動

    管理者としてログインし、以下のいずれかのパスワードを使用して、ネットワーク上のコンピュータにアクセスします。
    Guest
    Administrator
    zxcv
    yxcv
    test123
    test
    temp123
    temp
    sybase
    super
    secret
    pw123
    Password
    owner
    oracle
    mypc123
    mypc
    mypass123
    mypass
    love
    login
    Login
    Internet
    home
    godblessyou
    enable
    database
    computer
    alpha
    admin123
    Admin
    abcd
    88888888
    2600
    2004
    2003
    123asd
    123abc
    123456789
    1234567
    123123
    121212
    11111111
    00000000
    000000
    pass
    54321
    12345
    password
    passwd
    server
    asdfgh
    asdf
    1234
    root
    abc123
    12345678
    abcdefg
    abcdef
    888888
    666666
    111111
    admin
    administrator
    guest
    654321
    123456

    「Media」という文字列のネットワーク共有を作成し、以下のファイルを「C:\%Windir%\Media\」に作成します。
    WinRAR.exe
    Internet Explorer.bat
    Documents and Settings.txt.exe
    Microsoft Office.exe
    Windows Media Player.zip.exe
    Support Tools.exe
    Window
    Update.pif
    Cain.pif
    MSDN.ZIP.pif
    autoexec.bat
    findpass.exe
    client.exe
    i386.exe
    winhlp32.exe
    xcopy.exe
    mmc.exe
  • Windowsの脆弱性を利用
    また、Windowsの脆弱性である、RPC Interface Buffer Overflow (7.17.03)[MS03-026]を利用して、ネットワーク上のマシンに感染します。そして、リモートホスト上にFTPスクリプトを作成し、「FTP.EXE」を実行します。これはターゲットマシンに、ウイルスに感染したホストからこのウイルスを「HXDEF.EXE」というファイル名でダウンロードして実行します。