ウイルス情報

かかりやすさ:中

( W32.Swen.A.IWorm )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2003年9月18日(木)
■感染したらどうなる
  • パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信しますが、メールソフトで送るわけではないので、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
    (ウイルス対策ソフトが最新でなく、これに感染した場合、次回起動時には、ウイルス対策ソフトが作動できなくなります。感染するとレジストリエディタが使えなくなります)
  • 以下のように、マイクロソフトのセキュリティアップデートを偽ったeメールが送られることがあります。
■感染しないためには
  • メールに添付されたファイル名の末尾が「.EXE」のファイルを開かないこと。
    メール添付ファイル以外でも、LANやファイル共有ソフト(Kazaa)、IRCチャットソフトなどを通じても感染します。
    InternetExplorer5.0、5.5の場合、メールを開くかプレビューするだけで感染してしまう恐れがあります。
    WindowsUpdateを利用して、最新のWindows修正ファイルを適用してください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心下さい。
■詳細情報
  • メールによる感染

    W32/Swen@MMは、eメールの大量送信によってウイルスを送信します。
    ウイルスを添付されたeメールを受け取ったユーザーは、eメールをプレビューしただけで感染します。
     ※マイクロソフトのInternet Explorer 5.5以下の弱点を利用しているので、該当ユーザーはご注意ください。
    ウイルス添付メールの例
     送信者:Email Delivery Service (kmailengine@yahoo.com)
     件名:Returned Response
     本文:Undeliverable mail to (email address )
     ※ユーザーのパソコン内にある情報によって件名や添付ファイル名は変化します。
  • 共有ネットワークによる感染
     共有ネットワーク上のパソコンの以下の場所にウイルスをコピーします。
     windows?all users?start menu?programs?startup
     windows?start menu?programs?startup
     winme?all users?start menu?programs?startup
     winme?start menu?programs?startup
     win95?all users?start menu?programs?startup
     win95?start menu?programs?startup
     win98?all users?start menu?programs?startup
     win98?start menu?programs?startup
     document and settings?all users?start menu?programs?startup
     document and settings?default user?start menu?programs?startup
     document and settings?administrator?start menu?programs?startup
     winnt?profiles?all users?start menu?programs?startup
     winnt?profiles?default user?start menu?programs?startup
     winnt?profiles?administrator?start menu?programs?startup
  • IRCチャットソフトウェアによる感染
     IRCチャットソフトウェアのDCC送信によって感染を広げるために、ウイルスはmIRCフォルダ内に「SCRIPT.INI」ファイル(123 bytes)を、落とし込みます。
     ※このファイルは、4149以上のDATでMIRC/Genericウイルスとして検知されます。
  • ウイルスの感染画面例
     マイクロソフトのアップデートを装います。

    上記で「Yes」を押すと、インストールが行なわれます。

    インストールが完了したように見せ、ウイルスに感染します。

  • 感染したパソコンの以下のプロセスを停止します。
     ※興味深いことに「gibe」のような他のウイルスも停止されます。
     ・_avp
     ・ackwin32
     ・amserv
     ・anti-troj
     ・aplica32
     ・apvxdwin
     ・autodown
     ・avconsol
     ・ave32
     ・avgcc32
     ・avgctrl
     ・avgw
     ・avkserv
     ・avnt
     ・avp
     ・avsched32
     ・avwin95
     ・avwupd32
     ・blackd
     ・blackice
     ・bootwarn
     ・ccapp
     ・ccshtdwn
     ・cfiadmi
     ・cfiaudit
     ・cfind
     ・cfinet
     ・claw95
     ・dv95
     ・ecengine
     ・efinet32
     ・esafe
     ・espwatch
     ・f-agnt95
     ・f-prot
     ・f-prot95
     ・f-stopw
     ・findviru
     ・fp-win
     ・fprot
     ・fprot95
     ・frw
     ・gibe
     ・iamapp
     ・ibmasn
     ・ibmavsp
     ・icload95
     ・icloadnt
     ・icmon
     ・icmoon
     ・icssuppnt
     ・icsupp
     ・iface
     ・iomon98
     ・jedi
     ・kpfw32
     ・lockdown2000
     ・lookout
     ・lu32
     ・luall
     ・moolive
     ・mpftray
     ・msconfig
     ・nai_vs_stat
     ・nav
     ・navapw32
     ・navnt
     ・navsched
     ・navw
     ・nisum
     ・nmain
     ・normist
     ・nupdate
     ・nupgrade
     ・nvc95
     ・outpost
     ・padmin
     ・pavcl
     ・pavsched
     ・pavw
     ・pcciomon
     ・pccmain
     ・pccwin98
     ・pcfwallicon
     ・persfw
     ・pop3trap
     ・rav
     ・regedit
     ・rescue
     ・safeweb
     ・serv95
     ・sphinx
     ・sweep
     ・tca
     ・tds2
     ・vcleaner
     ・vcontrol
     ・vet32
     ・vet95
     ・vet98
     ・vettray
     ・view
     ・vscan
     ・vsecomr
     ・vshwin32
     ・vsstat
     ・webtrap
     ・wfindv32
     ・zapro
     ・zonealarm

    ウイルス感染時に上記のプロセスが起動していると、「Memory access violation in module kernel32 at (number)」という偽のエラーメッセージが表示されます。
  • 感染時の影響
    ウイルスを、 %WinDir% に作成します。(ファイル名は一例です。感染したパソコンごとに異なります。)
    C:?WINDOWS?ZNFUL.EXE
    ウイルスが実行されるように以下のレジストリが修正されます。(上記のファイルの例です。)
    HKEY_LOCAL_MACHINE?Software?Microsoft?Windows?CurrentVersion?Run "(randomstring)" = ZNFUL.EXE autorun ・以下のタイプのファイルが実行されるようにレジストリーが変更されます。
    * BAT
    * COM
    * EXE
    * PIF
    * REG
    * SCR

    詳細は以下の通りです。
    HKEY_CLASSES_ROOT?batfile?shell?open?command "(標準)" = %filename% "%1" %*
    HKEY_CLASSES_ROOT?comfile?shell?open?command "(標準)" = %filename% "%1" %*
    HKEY_CLASSES_ROOT?exefile?shell?open?command "(標準)" = %filename% "%1" %*
    HKEY_CLASSES_ROOT?piffile?shell?open?command "(標準)" = %filename% "%1" %*
    HKEY_CLASSES_ROOT?regfile?shell?open?command "(標準)" = %filename%showerror
    HKEY_CLASSES_ROOT?scrfile?shell?config?command "(標準)" = %filename% "%1"
    HKEY_CLASSES_ROOT?scrfile?shell?open?command "(標準)" = %filename% "%1" /S
     ( %filename% と成っているところは、%WinDir% に存在するウイルスファイル名と同じで、ユーザーごとに異なります。)
    以下のファイルが作成されます。
    * %WinDir%?GERMS0.DBV - 感染したパソコン内にあるeメールアドレスが書き込まれています。 (サイズ無制限)
    * %WinDir%?SWEN1.DAT - リモートサーバーのリストがあります。
    他にもOther randomly named files may also be dropped in %WinDir%にランダムな名前のついたファイルが作成されることがあります。
    -ウイルスを動作させるためのバッチファイル(約 50 bytes)とパス・ファイル名を含んだconfigファイル(約100-150bytes) です。
    「RegEdit.exe」が感染したパソコンで使えないように以下のようにレジストリが変更されます。
    HKEY_CURRENT_USER?Software?Microsoft?Windows?CurrentVersion?Policies?System "DisableRegistryTools" =01 00 00 00

    その他の情報は以下のレジストリに記述されます。
    HKEY_LOCAL_MACHINE?Software?Microsoft?Windows?CurrentVersion?explorer?%random string%
    ※ %random string% は、適当な名前が入れられます。 そのレジストリには以下のような情報が含まれます。
    * "Install Item" = (%WinDir%にインストールされたウイルス名で、ユーザーによって異なります。)
    * "Installed" = ... by Begbie
    * "Kazaa Infect" = yes
    * "Mirc Install Folder" = C:?Program Files?mirc
    * "Unfile" = buzf.qtq
    * "ZipName" = wqrqgd
    MAPI32例外に関する偽のエラーダイアログを表示し、ユーザーに以下の情報を入力するように促します。
    * eメールの宛先
    * ログイン名/パスワード
    * eメールアドレス
    * SMTP サーバー
    * POP3 サーバー
  • 感染数の動作
    ウイルスに感染すると、ウイルスは外部へHTTP要求を出し感染数を計っています。