| |
|
|
 |
メールの添付ファイルから感染する
- Windows 98, ME, NT, 2000, XP, Server 2003 に感染
- 電子メールの添付ファイルを実行することにより感染します。
- 別名 : 次のような名前で呼ばれることもあります。
スモール、TROJ_SMALL.EDW、Small.DAM、Troj/DwnLdr-FYD, Troj/Small-DOR, Trojan.Peacomm
- 対応日 : 2007年1月20日(土)
メールに添付されたファイルをむやみに実行しないようにしてください。
■詳細情報
- 1月20日(土)にすでに対応済みですが、感染が拡大しているため、1月23日(火)に"かかりやすさ低"から"中"へ引き上げました。
- 送信されるメールの形式は以下のとおりですのでご注意ください。
件名:以下のいずれかの可能性があります。
230 dead as storm batters Europe.
A killer at 11, he's free at 21 and kill again!
British Muslims Genocide
Chinese missile shot down Russian satellite
President of Russia Putin dead.
Radical Muslim drinking enemies'; blood.
Russian missle shot down Chinese aircraft
Russian missle shot down USA satellite
Sadam Hussein safe and sound
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela
Merkel
添付ファイル:以下のいずれかの可能性があります。
Full Clip.exe
Full Story.exe
Full Video.exe
Read More.exe
Video.exe
- インストール
添付ファイルを実行すると、不正プログラムは自身のコンポーネントファイル を
"wincom32.sys" というファイル名で作成し、Windowsシステムディレクトリに保存します。
- レジストリの値を作成
添付ファイルを実行すると、システム起動時にウイルスが実行されるように、レジストリの
値を作成されます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
wincom32.sys" は、ルートキット機能を備えており、ユーザーによる検出および削除を避けようとします。
- ファイルを作成
不正プログラムは "peers.ini" および "wincom32.ini" という無害なファイルをWindowsしステムディレクトリに作成します。
- 他の不正プログラムはダウンロード
この不正プログラムは、以下のWebサイトから不正ファイルをダウンロードし、実行します。
http://205.209.<〜>.112/cp/rule.php
http://209.123.<〜>.198/cp/rule.php
http://217.107.<〜>.187/cp/rule.php
http://217.107.<〜>.187/game0.exe
http://217.107.<〜>.187/sp/post.php
http://69.50.<〜>.234/cp/rule.php
http://81.177.<〜>.169/dir/game<数字>.exe
http://81.177.<〜>.27/cp/rule.php
- webサイトにアクセス
この不正プログラムは、任意のUDPポートを開き、以下のIPアドレスにアクセスします。
142.161.<〜>.227 - ポート12951 番
154.37.<〜>.117 - ポート7871 番
154.37.<〜>.141 - ポート7871 番
154.37.<〜>.209 - ポート7871 番
154.37.<〜>.210 - ポート7871 番
161.53.<〜>.5 - ポート6015 番
172.186.<〜>.114 - ポート8821 番
172.204.<〜>.238 - ポート5387 番
192.192.<〜>.171 - ポート11831 番
193.239.<〜>.171 - ポート17967 番
193.239.<〜>.57 - ポート15116 番
193.42.<〜>.167 - ポート14236 番
193.42.<〜>.236 - ポート13884 番
193.6.<〜>.212 - ポート6052 番
195.111.<〜>.70 - ポート16636 番
195.220.<〜>.98 - ポート4197 番
200.120.<〜>.32 - ポート11572 番
206.116.<〜>.76 - ポート3523 番
207.44.<〜>.55 - ポート4912 番
213.100.<〜>.210 - ポート2581 番
213.17.<〜>.66 - ポート17668 番
213.231.<〜>.75 - ポート5707 番
213.26.<〜>.150 - ポート6773 番
213.60.<〜>.99 - ポート7011 番
216.151.<〜>.52 - ポート7871 番
217.20.<〜>.250 - ポート7762 番
218.39.<〜>.91 - ポート9865 番
219.131.<〜>.130 - ポート17556 番
219.90.<〜>.123 - ポート9005 番
220.132.<〜>.110 - ポート11328 番
59.12.<〜>.243 - ポート12596 番
59.187.<〜>.104 - ポート3122 番
60.190.<〜>.86 - ポート14577 番
62.112.<〜>.44 - ポート14662 番
62.121.<〜>.124 - ポート4673 番
62.178.<〜>.201 - ポート16129 番
62.219.<〜>.130 - ポート2008 番
66.186.<〜>.22 - ポート7871 番
70.83.<〜>.117 - ポート5469 番
72.36.<〜>.114 - ポート12893 番
80.109.<〜>.250 - ポート15140 番
80.35.<〜>.52 - ポート 10674 番
81.10.<〜>.33 - ポート9994 番
81.220.<〜>.168 - ポート9150 番
82.146.<〜>.39 - ポート18295 番
82.158.<〜>.117 - ポート10909 番
82.182.<〜>.70 - ポート4091 番
82.207.<〜>.146 - ポート5885 番
82.23.<〜>.85 - ポート4451 番
82.236.<〜>.244 - ポート12921 番
82.237.<〜>.252 - ポート11922 番
82.238.<〜>.213 - ポート7682 番
82.55.<〜>.142 - ポート7255 番
82.7.<〜>.85 - ポート11119 番
83.14.<〜>.243 - ポート18559 番
83.16.<〜>.114 - ポート8883 番
83.254.<〜>.237 - ポート10619 番
83.38.<〜>.62 - ポート12091 番
84.122.<〜>.92 - ポート4064 番
84.131.<〜>.214 - ポート21140 番
84.16.<〜>.162 - ポート14611 番
84.16.<〜>.77 - ポート12021 番
84.16.<〜>.133 - ポート19023 番
84.163.<〜>.99 - ポート5373 番
84.63.<〜>.178 - ポート6002 番
84.74.<〜>.161 - ポート21772 番
85.10.<〜>.170 - ポート17003 番
85.118.<〜>.13 - ポート3960 番
85.118.<〜>.234 - ポート5642 番
85.17.<〜>.106 - ポート2850 番
88.191.<〜>.181 - ポート15840 番
88.191.<〜>.23 - ポート17161 番
88.191.<〜>.157 - ポート16738 番
90.12.<〜>.77 - ポート6121番
- その他
この不正プログラムは自身の圧縮形式を使用しています。
|
|
|
- かかりやすさ
 かかりやすさ「高」
 かかりやすさ「中」- 感染経路
 インターネット接続
 メール添付ファイル
 web閲覧
 メールプレビュー
 ファイル交換 - 種類
 ウイルス
 ワーム
 トロイの木馬
|
|
「ウイルスの状況」の履歴