--2003年12月18日更新情報--
・W32/Cayam.worm!p2pは以下のメディアの注目を集めたので、危険度を“低〔要注意〕”にしました。
・W32/Cayam.worm!p2pは、電子メールとファイル共有ネットワークを介して繁殖します。 MSVBで作成されており、UPXで圧縮されています。このワームの特徴は、以下のとおりです。
- Outlookのアドレス帳に登録されている宛先に(Outlookで)自身を送信
- ピアツーピアファイル共有ネットワーク(KaZaaでは、MAYACRACK.EXE、eMuleでは3DSMAXCRACK.EXE というファイル名)で、自身を共有
- eBayの偽の情報確認画面を表示してユーザ情報の取得を試み、フォームに入力されたデータをHTTP(ポート80)で送信
総称による検出
・4.2.40以降のエンジンで定義ファイル4267以降を使用すると、W32/Cayam.worm!p2pはW32/Generic.worm!p2pとして検出されます。
電子メールを介した繁殖
・W32/Cayam.worm!p2pは、Microsoft Outlookのアドレス帳に登録されている宛先にMicrosoft Outlookで自身を送信します。以下のような電子メールを送信します。
件名:Verify your eBay account information
本文:
Dear Ebay user,
Dear valued eBay member, It has come to our attention that your eBay Billing Information records are out of date.That requires you to update the Billing Information If you could please take 5-10 minutes out of your online experience and update your billing records, you will not run into any future problems with eBay's online service.However, failure to update your records will result in account termination.Please update your records in maximum 24 hours.Once you have updated your account records, your eBay session will not be interrupted and will continue as normal.Failure to update will result in cancellation of service, Terms of Service (TOS) violations or future billing problems.
Please open attachment to update your billing records.
Thank you for your time!
Marry Kimmel,
添付ファイル:eBayVerify.exe
ピアツーピアを介した繁殖
・W32/Cayam.worm!p2pは、KaZaa、およびeMuleピアツーピアファイル共有ネットワークを介して繁殖するために以下のように自身をコピーします。
- c:\Program Files\KazAa\My Shared Folder\Mayacrack.exe
- c:\Program Files\eMule\Incoming\3dsmaxcrack.exe
データ詐取
・W32/Cayam.worm!p2pは、eBayの偽の情報確認画面を表示してユーザをだまそうとします。ユーザは、名前、住所、社会保障番号、クレジットカード情報などを入力して、口座情報を確認するように指示されます。情報を収集すると、HTTP(ポート80)で送信し、以下のリモートサーバのスクリプトで処理します。
・以下のようなeBayの偽のログオン画面を最初に表示します。
・ユーザがサインインすると、クレジットカードや銀行の詳細情報などを収集するように作成された大きいフォームを表示します。
・上記のフォームが送信されると、偽の確認終了メッセージを表示します。
