・W32/Lovelorn@MMは、http://www.zdnet.com.au/newstech/security/story/0,2000048600,20274044,00.htmに記事が掲載されたので、危険度を“低[要注意]”にしました。この記事では、W32/Lovelorn@MMは“Nolor(aka Cailont)”という名前です。
・W32/Lovelorn@MMは大量メール送信型ワームで、自身のSMTPエンジンを使用してターゲットマシンから自身を送信します。実行ファイルで、またはHTMLドロッパを介して送信します。添付ファイルには以下のファイル名を使用します。
実行ファイル:%USERNAME%.KISS.OK.EXE
HTMLドッロッパ:%USERNAME%.HTM
“%USERNAME%”は、送信されるメッセージの送信者アドレスの一部です。送信者アドレスは偽造されるので(下記をご覧ください)、“%USERNAME%”には以下の値が使用されます。
- LOVE_LORN
- LOVELORN
- THUYQUYEN
- 偽造された送信者アドレスのその他の文字列(例:emailaddr@domain.comの場合は、“emailaddr”)
インストール
・W32/Lovelorn@MMが実行されると、%SysDir%ディレクトリに以下のファイルが書き込まれます。
- Explorer.exe:ワームのコピー
- Bsbk.dll:base64でエンコードされたHTMLドロッパのコピー
- Kernel32.exe:ワームのコピー
- mssys.dll:ターゲット電子メールアドレスを記載したテキストファイル
- netdll.dll:ワームのコピー
- netsn.dll:base64でエンコードされたワームのコピー
- serscg.dll:ワームのコピー
- setup.htm:htmlドロッパ
・以下のレジストリキーを追加して、次回以降コンピュータを再起動するたびにワームを実行します。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"explorer" = "C:\WINDOWS\SYSTEM\explorer.exe"
HTMLドロッパ
・HTMLドロッパはVBScriptを含んでおり、tempフォルダにTEMP.EXEというファイル名でワームをコピーして実行します。上記のエンジンと定義ファイルを使用すると、このHTMLドロッパはW32/Lovelorn.drとして検出されます。
・このHTMLファイルには、以下の(ベトナム語の)短い詩も記載されています。
- Tinh` cho khong bieu'
(英語にすると、“Love given not told”です。)
大量メール送信
・W32/Lovelorn@MMは、自身のSMTPエンジンを使用してターゲットマシンから自身を送信します。テストでは、ターゲットマシン上のDBXファイルから収集したアドレスに自身を送信しました。
・送信者アドレスは、以下の電子メールアドレスで偽造されます。
- lovelorn@yahoo.com
- love_lorn@yahoo.com
- thuyquyen@yahoo.com
- ターゲットマシンのデフォルトのSMTP電子メールアドレス(レジストリから取得)
- ターゲットマシンから抽出されたSMTP電子メールアドレス(例:DBXファイル)
・添付ファイル名の一部は、使用される送信者アドレスのローカル部分です。(例:emailaddr@domain.comの場合は“emailaddr”)実行ファイルの場合は“.KISS.OK.EXE”の前に、HTMLドロッパの場合は“.HTM”の前にこの文字列を挿入します(上記で説明したとおりです)。
・送信メッセージには、以下のようにさまざまな件名が使用されます。
- There're some Passwords here
- Re:Get Password mail...
・送信メッセージの本文も以下のようにさまざまです。
フロッピーワーム繁殖
・このワームの文字列から、A:\NQH_Kiss_you.exeという名前で自身をフロッピーディスクにコピーすると考えられます。
プロセス終了
・このワームの文字列から、以下の文字列を含むすべてのプロセスを終了すると考えられます。
