ウイルス情報

ワーマーク・J

( Worm.Wurmark.j )

メール添付ファイルから感染する［メール無断送信］ワーム

別名＿：

WORM_WURMARK.J、Win32.Lanieca.A

更新日：

2005年5月8日(日)

■感染したらどうなる

• パソコン内の「Temporary Internet Files」フォルダや、特定の拡張子からメールアドレスを収集し、勝手にウイルス付きメールを送信します。キー入力情報が収集され、それにより情報漏洩の危険性があります。

■感染しないためには

• 身に覚えのないメールの添付ファイルをむやみにクリックしないようにしてください。
  詳しくは「詳細情報」をご覧ください。

■どうすれば直る

• ウイルスセキュリティすでにこのウイルスに対応済みです。ご安心ください。

■詳細情報

• 送信されるメールの形式は以下の通りですのでご注意ください。
  
  差出人:なりすまします。
  
  件名:以下のいずれかの可能性があります。
  details
  girls
  image
  love
  message
  music
  news
  photo
  pic
  readme
  resume
  screensaver
  song
  video
  
  本文:空欄です。
  
  添付ファイル：ファイル名は以下のいずれかの可能性があります。
  details
  girls
  image
  love
  message
  music
  news
  photo
  pic
  readme
  resume
  screensaver
  song
  video
  
  拡張子は「.zip」です。
  
  「.zip」ファイルには以下のいずれかのファイルが含まれています。
  details.doc＜複数のスペース＞.scr
  girls.jpg＜複数のスペース＞.scr
  image.jpg＜複数のスペース＞.scr
  love.jpg＜複数のスペース＞.scr
  message.txt＜複数のスペース＞.scr
  music.mp3＜複数のスペース＞.scr
  news.doc＜複数のスペース＞.scr
  photo.jpg＜複数のスペース＞.scr
  pic.jpg＜複数のスペース＞.scr
  readme.txt＜複数のスペース＞.scr
  resume.doc＜複数のスペース＞.scr
  screensaver＜複数のスペース＞.scr
  song.wav＜複数のスペース＞.scr
  video.avi＜複数のスペース＞.scr
  
• レジストリの値を作成
  添付ファイルを実行すると、システムディレクトリに自分自身をランダムなファイル名でインストールし、以下のレジストリの値を作成します。
  
  システム起動時にウイルスが実行されるように、レジストリの値を作成します。
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  ＜ワームのファイル名（拡張子なし）＞ = "＜ワームのパスおよびファイル名＞"
  
  また、ランダムなファイル名のDLLをシステムフォルダに作成します。
  
• 大量メール送信
  このウイルスは、ハードディスク内を検索して、「Temporary Internet Files」フォルダや、以下の拡張子から、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
  .ASP
  .DBX
  .EML
  .HTM
  .MBX
  .SHT
  .TBB
  
  以下の文字列を含むアドレスには送信しません。
  abuse
  admin
  hostmaster
  localdomain
  localhost
  mcafee
  messagelab
  microsoft
  noreply
  postmaster
  recipients
  reports
  root
  spam
  symantec
  webmaster
  
• メールサーバー情報の取得
  以下のレジストリから、メール送信に利用するメールサーバーの情報を取得します。
  HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
  
• 入力操作情報収集
  ユーザーのキー入力操作情報を収集して、ランダムなファイル名のDLLに保存します。
  このDLLは、「Trojan.Spy.Agent.c」として検出します。