PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Warezov.DLL.C
発見日:22/09/2006
タイプワーム
感染報告有りはい
感染報告
感染の可能性
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ153.128 バイト
MD5 チェックサム6d5b6945f50dc801208525936d5c24b9
VDFファージョン:6.36.00.50
IVDFファージョン:6.36.00.61 - 2006年9月26日火曜日

 一般情報 感染方法
   • Eメール


別名
   •  McAfee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.ab
   •  TrendMicro: WORM_STRATION.BC
   •  F-Secure: Email-Worm.Win32.Warezov.ab
   •  Eset Win32/Stration.AR


プラットフォーム/OS:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • セキュリティ関係のウェブサイトへのアクセスを無効にします。
   • 悪意ファイルを作成します。
   • それ自身のメール・エンジンを利用します。
   • セキュリティの設定を低くします。
   • レジストリの改変。


起動後以下の情報が表示されます:


 ファイル それ自体を以下の場所にコピーします。
   • %WINDIR%\tsrv.exe



以下のファイルが作成されます:

– 収集したメールアドレスを含んだファイル
   • %WINDIR%\tsrv.wax

– %HOME%\Desktop\%2桁のランダムな文字列%.tmp これは以下の内容を含む、悪意のないテキスト・ファイルです:
   • %ランダムな文字列%

%SYSDIR%\msji449c14b7.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/Stration

%SYSDIR%\cmut449c14b7.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/Warezov.AB

%SYSDIR%\hpzl449c14b7.exe 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/Warezov.AB.2

%WINDIR%\tsrv.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/Warezov.AB.1

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "tsrv"="%WINDIR%\tsrv.exe s"



以下のレジストリ・キーは変更されます:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   前の値
   • "AppInit_DLLs"=""
   新しい値
   • "AppInit_DLLs"=" msji449c14b7.dll"

 Eメール それはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:


送信者
送信者のアドレスは改変されています(spoof)。
作成されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。


宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス
– 作成されたアドレス


メール・デザイン



送信者: sec@%受信者のドメイン%
件名: Mail server report.
本文:
   • Mail server report.
     
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     
     Best regards,
     Customers support service
添付ファイル
   • Update-KB%番号% -x86.exe



送信者: secur@%受信者のドメイン%
件名: Mail server report.
本文:
   • Mail server report.
     
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     
     Best regards,
     Customers support service
添付ファイル
   • Update-KB%番号% -x86.exe



送信者: serv@%受信者のドメイン%
件名: Mail server report.
本文:
   • Mail server report.
     
     Our firewall determined the e-mails containing worm copies are being sent from your computer.
     Nowadays it happens from many computers, because this is a new virus type (Network Worms).
     Using the new bug in the Windows, these viruses infect the computer unnoticeably.
     After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
     addresses
     Please install updates for worm elimination and your computer restoring.
     
     Best regards,
     Customers support service
添付ファイル
   • Update-KB%番号% -x86.exe


件名
以下のもの:
   • Error
   • Good day
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • picture
   • Server Report
   • Status
   • test



本文
メールの本文は以下のうちのどれかです:

   • Mail transaction failed. Partial message is available.

   • The message cannot be represented in 7-bit ASCII encoding
     and has been sent as a binary attachment

   • The message contains Unicode characters and has been sent
     as a binary attachment.


添付ファイル
添付ファイルの名前は以下のものから構成されています:

–  以下のうちのどれかで始まります:
   • body
   • data
   • doc
   • docs
   • document
   • file
   • message
   • readme
   • test
   • text

    その後に以下の偽の拡張子のうちのどれかが続きます:
   • .elm
   • .msg
   • .dat
   • .txt
   • .log

    ファイル拡張子は以下のうちのどれかです:
   • .bat
   • .exe
   • .scr
   • .cmd
   • .pif

添付ファイルは、マルウェア自身のコピーです。



メールは以下のうちのどれかであることもあります:



 ホスト ホストファイルは以下のように改変されます:

– この場合、存在する登録情報は変更されません。

– 以下のドメインへのアクセスは効果的に無効にされています。
   • download.microsoft.com; go.microsoft.com; msdn.microsoft.com;
      office.microsoft.com; windowsupdate.microsoft.com;
      http://www.microsoft.com/downloads/Search.aspx?displaylang=en; avp.ru;
      www.avp.ru; http://avp.ru; http://www.avp.ru; kaspersky.ru;
      www.kaspersky.ru; http://kaspersky.ru; kaspersky.com;
      www.kaspersky.com; http://kaspersky.com; kaspersky-labs.com;
      www.kaspersky-labs.com; http://kaspersky-labs.com; avp.ru/download/;
      www.avp.ru/download/; http://www.avp.ru/download/;
      http://www.kaspersky.ru/updates/;
      http://www.kaspersky-labs.com/updates/; http://kaspersky.ru/updates/;
      http://kaspersky-labs.com/updates/; downloads1.kaspersky-labs.com;
      downloads2.kaspersky-labs.com; downloads3.kaspersky-labs.com;
      downloads4.kaspersky-labs.com; downloads5.kaspersky-labs.com;
      http://downloads1.kaspersky-labs.com;
      http://downloads2.kaspersky-labs.com;
      http://downloads3.kaspersky-labs.com;
      http://downloads4.kaspersky-labs.com;
      http://downloads5.kaspersky-labs.com;
      downloads1.kaspersky-labs.com/products/;
      downloads2.kaspersky-labs.com/products/;
      downloads3.kaspersky-labs.com/products/;
      downloads4.kaspersky-labs.com/products/;
      downloads5.kaspersky-labs.com/products/;
      http://downloads1.kaspersky-labs.com/products/;
      http://downloads2.kaspersky-labs.com/products/;
      http://downloads3.kaspersky-labs.com/products/;
      http://downloads4.kaspersky-labs.com/products/;
      http://downloads5.kaspersky-labs.com/products/;
      downloads1.kaspersky-labs.com/updates/;
      downloads2.kaspersky-labs.com/updates/;
      downloads3.kaspersky-labs.com/updates/;
      downloads4.kaspersky-labs.com/updates/;
      downloads5.kaspersky-labs.com/updates/;
      http://downloads1.kaspersky-labs.com/updates/;
      http://downloads2.kaspersky-labs.com/updates/;
      http://downloads3.kaspersky-labs.com/updates/;
      http://downloads4.kaspersky-labs.com/updates/;
      http://downloads5.kaspersky-labs.com/updates/;
      ftp://downloads1.kaspersky-labs.com;
      ftp://downloads2.kaspersky-labs.com;
      ftp://downloads3.kaspersky-labs.com;
      ftp://downloads4.kaspersky-labs.com;
      ftp://downloads5.kaspersky-labs.com;
      ftp://downloads1.kaspersky-labs.com/products/;
      ftp://downloads2.kaspersky-labs.com/products/;
      ftp://downloads3.kaspersky-labs.com/products/;
      ftp://downloads4.kaspersky-labs.com/products/;
      ftp://downloads5.kaspersky-labs.com/products/;
      ftp://downloads1.kaspersky-labs.com/updates/;
      ftp://downloads2.kaspersky-labs.com/updates/;
      ftp://downloads3.kaspersky-labs.com/updates/;
      ftp://downloads4.kaspersky-labs.com/updates/;
      ftp://downloads5.kaspersky-labs.com/updates/;
      http://updates.kaspersky-labs.com/updates/;
      http://updates1.kaspersky-labs.com/updates/;
      http://updates2.kaspersky-labs.com/updates/;
      http://updates3.kaspersky-labs.com/updates/;
      http://updates4.kaspersky-labs.com/updates/;
      ftp://updates.kaspersky-labs.com/updates/;
      ftp://updates1.kaspersky-labs.com/updates/;
      ftp://updates2.kaspersky-labs.com/updates/;
      ftp://updates3.kaspersky-labs.com/updates/;
      ftp://updates4.kaspersky-labs.com/updates/; viruslist.com;
      www.viruslist.com; http://viruslist.com; viruslist.ru;
      www.viruslist.ru; http://viruslist.ru;
      ftp://ftp.kasperskylab.ru/updates/; symantec.com; www.symantec.com;
      http://symantec.com; customer.symantec.com;
      http://customer.symantec.com; liveupdate.symantec.com;
      http://liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
      http://liveupdate.symantecliveupdate.com;
      securityresponse.symantec.com; http://securityresponse.symantec.com;
      service1.symantec.com; http://service1.symantec.com;
      symantec.com/updates; http://symantec.com/updates;
      updates.symantec.com; http://updates.symantec.com; eset.com/;
      www.eset.com/; http://www.eset.com/; eset.com/products/index.php;
      www.eset.com/products/index.php;
      http://www.eset.com/products/index.php; eset.com/download/index.php;
      www.eset.com/download/index.php;
      http://www.eset.com/download/index.php; eset.com/joomla/;
      www.eset.com/joomla/; http://www.eset.com/joomla/; u3.eset.com/;
      http://u3.eset.com/; u4.eset.com/; http://u4.eset.com/;
      www.symantec.com/updates




改変されたホストファイルの外見は以下のようになります。


 挿入(Injection) –  以下のファイルをプロセスに挿入させます: tsrv.dll

    プロセス名:|以下のすべて:
   • %すべての起動中のプロセス%


 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • MEW

説明の挿入者 Adriana Popa の 2006年9月26日火曜日
説明の更新者 Adriana Popa の 2006年9月26日火曜日

戻る . . . .
https:// このウィンドウは暗号化されています。