ウイルス情報

ウイルス名 危険度

W32/Fizzer@MM

企業ユーザ: 中
個人ユーザ: 中
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4263
対応定義ファイル
(現在必要とされるバージョン)
4263 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 Fizzer (F-Secure):W32/Fizzer (Panda):W32/Fizzer-A (Sophos):W32/Fizzer.gen@MM:Worm/Fizzu.A (Central Command)
情報掲載日 03/05/09
発見日(米国日付) 03/05/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2003年5月15日更新情報

・感染報告が減少傾向にあるため、危険度を「中」に下げました。


2003年5月14日更新情報

・このウイルスを「ウイルス絵とき理解」に追加しました。詳細はこちら


2003年5月13日更新情報

・駆除ツールStingerがW32/Fizzer@MMに対応しました。詳細はこちら。

【スキャンエンジン4.1.60をお使いのお客様へ】
スキャンエンジン4.1.60をご使用のお客様で、本ワームを検出した場合は、Virus駆除ツール”Stinger”をお使い頂き、ワームの駆除/削除を行って下さい。
Stingerには最新エンジン4.2.40と同等のエンジンが採用されているので、より確実な駆除が可能になります。
なお、駆除・削除完了後は早急にスキャンエンジンを4.2.40に更新することをお薦めします。
駆除ツール”Stinger”ダウンロード
スキャンエンジンのアップグレード


・このウイルスを検出するには4.1.60以上のエンジンが必要ですが、ウイルスを除去するには4.2.40 エンジンが必要です。AVERTでは全てのユーザ(企業/個人問わず)に対して、早急にエンジンを4.2.40にアップデートして、このウイルスに対応することを推奨いたします。

・W32/Fizzer@MMは大量メール送信型ワームで、多数のコンポーネントで構成されています。タイマーも内蔵しており、時間によって以下のようにさまざまな発病ルーチンを開始します。

  1. 以下の場所から収集した電子メールアドレスに自身を大量メール送信
    • Outlookのコンタクトリスト
    • Windowsのアドレス帳(WAB)
    • ローカルシステム上にあるアドレス
    • ランダムに作成されたアドレス
  2. IRCボット(Internet Relay Chat)
  3. AIMボット(AOL Instant Messenger)
  4. キーロガー
  5. KaZaaワーム
  6. HTTPサーバ
  7. リモートアクセスサーバ
  8. 自動アップデート
  9. ウイルス対策ソフトウェアの終了

・このワームは自身のSMTPエンジンを内蔵しており、Internet Account Managerのレジストリ設定で指定されたデフォルトのSMTPサーバを使用します。また、数百の異なるSMTPサーバを利用することもあります。

・このワームは、さまざまな電子メールメッセージの添付ファイルで届きます。送信者アドレスは偽造されるので、表示される送信者は実際の送信者ではありません。メッセージの本文、件名、添付ファイル名はさまざまです。添付ファイルには、標準的な実行ファイルの拡張子(.com、.exe、.pif、および.scr)を使用します。

送信される電子メールメッセージの例:

    件名: why?
    本文:The peace
    添付ファイル:desktop.scr
    件名:Re: You might not appreciate this...
    本文:lautlach
    添付ファイル:service.scr
    件名:Re: how are you?
    本文:I sent this program (Sparky) from anonymous places on the net
    添付ファイル:Jesse20.exe
    件名:Fwd: Mariss995
    本文:There is only one good, knowledge, and one evil, ignorance.
    添付ファイル:Mariss995.exe
    件名:Re: The way I feel - Remy Shand
    本文:Nein
    添付ファイル:Jordan6.pif
When the attachment is run, the worm extracts several files to the WINDOWS (%WinDir%) directory.

・添付ファイルが実行されると、WINDOWS (%WinDir%)ディレクトリに以下の複数のファイルを抽出します。

  • initbak.dat(220,160バイト):ワームのコピー
  • iservc.exe(220,160バイト):ワームのコピー
  • ProgOp.exe(15,360バイト):プロセス処理
  • iservc.dll(7,680 bytes):発病ルーチンのタイミングとWindowsのフック

・以下のレジストリ実行キーを作成して、システムの起動時に自身を読み込みます。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "SystemInit" = C:\WINDOWS\ISERVC.EXE

・また、.TXT拡張子のファイルの処理を改変して、.TXTファイルにアクセスするとワームを実行するようにします。

  • HKEY_CLASSES_ROOT\txtfile\shell\open\command
    "(デフォルト)" = C:\WINDOWS\ProgOp.exe 0 7 'C:\WINDOWS\NOTEPAD.EXE %1'
    'C:\WINDOWS\initbak.dat' 'C:\WINDOWS\ISERVC.EXE'

・この改変に関連して、以下の新しいCLASS ROOT(クラスルート)キーを作成します。

  • HKEY_CLASSES_ROOT\Applications\ProgOp.exe

・Windows NT/2000/XPシステム上では、S1TRACEという名前のサービスを作成します。

■メール送信ルーチン

・数分後、自身のSMTPエンジンを使用して、Outlookのコンタクトリストにあるすべての電子メールアドレスに自身を送信します。また、以下のようなランダムなアドレスにも自身を送信します。

Part 1
ランダムな名前(ワーム内部のリストに記載)

Part 2
ランダムな数字(オプション)

Part 3
@ランダムなドメイン(ワーム内部のリストに記載)

  • aol.com
  • earthlink.com
  • gte.net
  • hotmail.com
  • juno.com
  • msn.com
  • netzero.com
  • yahoo.com

■IRC接続

・このワームは、以下のさまざまなIRCサーバにpingします。返信を受け取ると、内部のリストにある、さまざまなユーザ名でIRCチャネルに接続します。

  • irc2p2pchat.net
  • irc.idigital-web.com
  • irc.cyberchat.org
  • irc.othernet.org
  • irc.beyondirc.net
  • irc.chatx.net
  • irc.cyberarmy.com
  • irc.gameslink.net

■AIMボット(AOL Instant Messenger)

・ワームはAIMサイトに接続し、ランダムに選択した名前で新規ユーザ登録します。そしてポート5190のAIMチャットサーバに接続し、さらなるインストラクションを聴取します。

■自動アップデート

・ワームはダウンロードアップデートするためにジオシティーのユーザサイトに接続します。現時点では、そのようなユーザサイトは存在しませんでした。

■キーロガー

・ワームはキーストロークをキャプチャし、ウィンドウズディレクトリ内の「iservc.klg」 という名前の暗号化されたファイルに保存します。

■KaZaaワーム

・ワームはレジストリからKaZaa用のデフォルトダウンロードディレクトリを読み込み、ランダムに選択した名前で自身をコピーします。

■HTTPサーバ

・ワームは設定済みのポート上のHTTPサーバで起動します。このウェブサーバはコマンドコンソールとして作動し、感染システムの情報(システム時間、接続情報、OSバージョン、IRC、AIM情報)を表示します。また、アタッカーにたいして、サービス拒否攻撃やAOL検索コマンド、ウイルス対策ソフトウェアの終了のような機能を実行することを許可します。

■リモートアクセスサーバ

・ワームは設定済みTCPポートを聴取し、リモートコンソールを作成します。

■ウイルス対策ソフトウェアの終了

・このワームは、プロセス名に以下の語句を含むプロセスを終了します。

  • ANTIV
  • AVP
  • F-PROT
  • NMAIN
  • SCAN
  • TASKM
  • VIRUS
  • VSHW
  • VSS

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ポート6667に予期しないトラフィックが存在します。

・上記のファイルおよびレジストリキーが存在します。

TOPへ戻る

感染方法

・W32/Fizzer@MMは、KaZaaや電子メール、大量メール送信で多数の電子メールアドレスに自身を送信します。偽造した送信者名を使用することもあります。実行ファイル形式の添付ファイルで届き、ウイルスをダブルクリックすると感染します。

・ワームはリソースセクションに様々な圧縮された情報を保存しています。保存されている情報はウイルスのサンプルによって異なるため、感染ファイルのサイズもそれによって変わります。

・ウイルスはISERVC.DLL ファイルを感染後に起動する各プロセスにISERVC.DLL ファイルを挿入します。このDLLファイルを削除するには、先にアンロードする必要があります。このウイルスを修復するには4.2.40 エンジンが必要です。

・ウィンドウズディレクトリにUNINSTALL.PKY という名前のファイルが存在する場合、ファイルの内容に関係なく、ワームはPCに感染しません。

TOPへ戻る