2003年5月15日更新情報
・感染報告が減少傾向にあるため、危険度を「中」に下げました。
2003年5月14日更新情報
・このウイルスを「ウイルス絵とき理解」に追加しました。詳細はこちら
2003年5月13日更新情報
・駆除ツールStingerがW32/Fizzer@MMに対応しました。詳細はこちら。
【スキャンエンジン4.1.60をお使いのお客様へ】
スキャンエンジン4.1.60をご使用のお客様で、本ワームを検出した場合は、Virus駆除ツール”Stinger”をお使い頂き、ワームの駆除/削除を行って下さい。
Stingerには最新エンジン4.2.40と同等のエンジンが採用されているので、より確実な駆除が可能になります。
なお、駆除・削除完了後は早急にスキャンエンジンを4.2.40に更新することをお薦めします。
*駆除ツール”Stinger”ダウンロード
*スキャンエンジンのアップグレード
・このウイルスを検出するには4.1.60以上のエンジンが必要ですが、ウイルスを除去するには4.2.40 エンジンが必要です。AVERTでは全てのユーザ(企業/個人問わず)に対して、早急にエンジンを4.2.40にアップデートして、このウイルスに対応することを推奨いたします。
・W32/Fizzer@MMは大量メール送信型ワームで、多数のコンポーネントで構成されています。タイマーも内蔵しており、時間によって以下のようにさまざまな発病ルーチンを開始します。
- 以下の場所から収集した電子メールアドレスに自身を大量メール送信
- Outlookのコンタクトリスト
- Windowsのアドレス帳(WAB)
- ローカルシステム上にあるアドレス
- ランダムに作成されたアドレス
- IRCボット(Internet Relay Chat)
- AIMボット(AOL Instant Messenger)
- キーロガー
- KaZaaワーム
- HTTPサーバ
- リモートアクセスサーバ
- 自動アップデート
- ウイルス対策ソフトウェアの終了
・このワームは自身のSMTPエンジンを内蔵しており、Internet Account Managerのレジストリ設定で指定されたデフォルトのSMTPサーバを使用します。また、数百の異なるSMTPサーバを利用することもあります。
・このワームは、さまざまな電子メールメッセージの添付ファイルで届きます。送信者アドレスは偽造されるので、表示される送信者は実際の送信者ではありません。メッセージの本文、件名、添付ファイル名はさまざまです。添付ファイルには、標準的な実行ファイルの拡張子(.com、.exe、.pif、および.scr)を使用します。
送信される電子メールメッセージの例:
件名: why?
本文:The peace
添付ファイル:desktop.scr
件名:Re: You might not appreciate this...
本文:lautlach
添付ファイル:service.scr
件名:Re: how are you?
本文:I sent this program (Sparky) from anonymous places on the net
添付ファイル:Jesse20.exe
件名:Fwd: Mariss995
本文:There is only one good, knowledge, and one evil, ignorance.
添付ファイル:Mariss995.exe
件名:Re: The way I feel - Remy Shand
本文:Nein
添付ファイル:Jordan6.pif
When the attachment is run, the worm extracts several files to the WINDOWS (%WinDir%) directory.
・添付ファイルが実行されると、WINDOWS (%WinDir%)ディレクトリに以下の複数のファイルを抽出します。
- initbak.dat(220,160バイト):ワームのコピー
- iservc.exe(220,160バイト):ワームのコピー
- ProgOp.exe(15,360バイト):プロセス処理
- iservc.dll(7,680 bytes):発病ルーチンのタイミングとWindowsのフック
・以下のレジストリ実行キーを作成して、システムの起動時に自身を読み込みます。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "SystemInit" = C:\WINDOWS\ISERVC.EXE
・また、.TXT拡張子のファイルの処理を改変して、.TXTファイルにアクセスするとワームを実行するようにします。
- HKEY_CLASSES_ROOT\txtfile\shell\open\command
"(デフォルト)" = C:\WINDOWS\ProgOp.exe 0 7 'C:\WINDOWS\NOTEPAD.EXE %1'
'C:\WINDOWS\initbak.dat' 'C:\WINDOWS\ISERVC.EXE'
・この改変に関連して、以下の新しいCLASS ROOT(クラスルート)キーを作成します。
- HKEY_CLASSES_ROOT\Applications\ProgOp.exe
・Windows NT/2000/XPシステム上では、S1TRACEという名前のサービスを作成します。
■メール送信ルーチン
・数分後、自身のSMTPエンジンを使用して、Outlookのコンタクトリストにあるすべての電子メールアドレスに自身を送信します。また、以下のようなランダムなアドレスにも自身を送信します。
Part 1
ランダムな名前(ワーム内部のリストに記載)
Part 2
ランダムな数字(オプション)
Part 3
@ランダムなドメイン(ワーム内部のリストに記載)
- aol.com
- earthlink.com
- gte.net
- hotmail.com
- juno.com
- msn.com
- netzero.com
- yahoo.com
■IRC接続
・このワームは、以下のさまざまなIRCサーバにpingします。返信を受け取ると、内部のリストにある、さまざまなユーザ名でIRCチャネルに接続します。
- irc2p2pchat.net
- irc.idigital-web.com
- irc.cyberchat.org
- irc.othernet.org
- irc.beyondirc.net
- irc.chatx.net
- irc.cyberarmy.com
- irc.gameslink.net
■AIMボット(AOL Instant Messenger)
・ワームはAIMサイトに接続し、ランダムに選択した名前で新規ユーザ登録します。そしてポート5190のAIMチャットサーバに接続し、さらなるインストラクションを聴取します。
■自動アップデート
・ワームはダウンロードアップデートするためにジオシティーのユーザサイトに接続します。現時点では、そのようなユーザサイトは存在しませんでした。
■キーロガー
・ワームはキーストロークをキャプチャし、ウィンドウズディレクトリ内の「iservc.klg」 という名前の暗号化されたファイルに保存します。
■KaZaaワーム
・ワームはレジストリからKaZaa用のデフォルトダウンロードディレクトリを読み込み、ランダムに選択した名前で自身をコピーします。
■HTTPサーバ
・ワームは設定済みのポート上のHTTPサーバで起動します。このウェブサーバはコマンドコンソールとして作動し、感染システムの情報(システム時間、接続情報、OSバージョン、IRC、AIM情報)を表示します。また、アタッカーにたいして、サービス拒否攻撃やAOL検索コマンド、ウイルス対策ソフトウェアの終了のような機能を実行することを許可します。
■リモートアクセスサーバ
・ワームは設定済みTCPポートを聴取し、リモートコンソールを作成します。
■ウイルス対策ソフトウェアの終了
・このワームは、プロセス名に以下の語句を含むプロセスを終了します。
- ANTIV
- AVP
- F-PROT
- NMAIN
- SCAN
- TASKM
- VIRUS
- VSHW
- VSS
