「Here you have」ウイルス(別名「W32/VBMania@MM」)が蔓延中

2010/09/10

マカフィーは本日、「W32/VBMania@MM」を「危険度:中」と警告しました。McAfee Labsでは、このウイルス増殖過程でメールの件名を利用する、通称「Here you have」ウイルスという新たな脅威を調査中です。既に、様々な亜種が蔓延している可能性があると見られ、詳細を全て明らかにするには時間がかかると思われます。つきましては、現時点で判明している内容を説明します。

感染性のメールメッセージには、以下のプロパティが含まれている可能性があります。


件名: Here you have または Just For you
本文:

Hello:(こんにちは)

This is The Document I told you about,you can find it Here.(前にお話しした文書は下記にあります)
http://www.sharedocuments.com/library/PDF_Document21.025542010.pdf

Please check it and reply as soon as possible.(ファイルを確認したら、早めにご返信ください)

Cheers,(それでは)

または

Hello:(こんにちは)

This is The Free Dowload Sex Movies,you can find it Here.(下記サイトから無料セックス動画をダウンロードできます)
http://www.sharemovies.com/library/SEX21.025542010.wmv

Enjoy Your Time.(お楽しみください)

Cheers,(それでは)


実際には、このURLが誘導するのはPDF文書ではなく、members.multimania.co.ukという別のドメインが提供する偽装された実行ファイルです。既にこのURLにはアクセス不可となっていますので、メールの感染ベクターは無力化していると思われます(ただし、既に感染しているホストが、メールメッセージを蔓延させ続けている可能性があります)

下記は、この脅威の活動に関する追加情報です。
Generic.dx!tsp!2BDE56D8FB2D – http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=275352
W32/VBMania@MM – http://www.mcafee.com/japan/security/virV.asp?v=W32/VBMania@MM

ユーザーがハイパーリンクを手動で選択すると、ウイルスのダウンロードや実行が指示されます。実行すると、ウイルスは自身をCSRSS.EXEという名でWindowsディレクトリにインストールします(Windows Systemディレクトリにある有効なCSRSS.EXEファイルと混同しないでください)。一旦感染すると、このワ―ムは、先述のメッセージをアドレス帳に登録されている受信者宛に送信しようと試みます。また、Autorunレプリケーションにより、アクセス可能なリモートマシン、マップ済みドライブ、リムーバブルメディアを介して拡散することもあります。

アクセス可能なリモートマシン
ウイルスが検出される可能性のあるロケーションは、以下のとおりです。

  • c:\N73.Image12.03.2009.JPG.scr
  • d:\N73.Image12.03.2009.JPG.scr
  • E:\N73.Image12.03.2009.JPG.scr
  • F:\N73.Image12.03.2009.JPG.scr
  • G:\N73.Image12.03.2009.JPG.scr
  • H:\N73.Image12.03.2009.JPG.scr
  • New Folder\N73.Image12.03.2009.JPG.scr
  • music\N73.Image12.03.2009.JPG.scr
  • print\N73.Image12.03.2009.JPG.scr

マップ済みドライブ、リムーバルメディア
その他のドライブには、作成されたワームのコピー「open.exe」を指定するAutorun.infファイルが含まれている可能性があります。

ウイルスは、下記のようなセキュリティサービスの停止や削除を試みます。

  • 0053591272669638mcinstcleanup
  • AntiVirFirewallService
  • AntiVirMailGuard
  • AntiVirSchedulerService
  • AntiVirService
  • Arrakis3
  • aswUpdSv
  • Avast! Antivirus
  • avast! Mail Scanner
  • avast! Web Scanner
  • AVG Security Toolbar Service
  • avg9wd
  • Avgfws9
  • AVGIDSAgent
  • AVP
  • Gwmsrv
  • LIVESRV
  • Mc0DS
  • Mc0obeSv
  • McAfee SiteAdvisor Service
  • McMPFSvc
  • mcmscsvc
  • McNASvc
  • McProxy
  • McShield
  • mfefire
  • mfevtp
  • MSK80Service
  • NIS
  • Panda Software Controller
  • PAVFNSVR
  • PavPrSrv
  • PAVSRV
  • prlo
  • PSHost
  • PSIMSVC
  • PskSvcRetail
  • scan
  • sdAuxService
  • sdCoreService
  • SfCtlCom
  • TMBMServer
  • TmProxy
  • TPSrv
  • VSSERV

また、このウイルスは、下記のようなさまざまなファイルのダウンロードを試みます。

  • ff.iq
  • gc.iq
  • ie.iq
  • im.iq
  • m.iq
  • op.iq
  • pspv.iq
  • rd.iq
  • w.iq
  • SendEmail.iq
  • hst.iq
  • tryme.iq

現時点で、既にこれらのファイルは無効になっています。ただし、これらの名前の付いたファイルには、UPX圧縮されたパスワード復元ツール(ChromePass、OperaPassview)や、UPX圧縮されたSysinternalsツール(PSExec)、悪意のあるHOSTSファイルが含まれています。

ウイルスの特徴や駆除方法にについて詳細は、下記ページをご覧ください。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Widespread Reporting of “Here you have” Virus (aka W32/VBMania@MM)