・検出:W32/Naco.a@MMはヒューリスティックプログラムを有効にして"圧縮ファイルをスキャン"すると、定義ファイル4174以降で"virus or variant New Worm"として検出されます。
・このウイルスはVisual Basicで作成されており、以下の方法で繁殖します。
- Outlookのコンタクトリストにある宛先に自身をメール送信します
- ピアツーピアファイル共有ネットワークを使用して自身を共有します(例えば、KaZaA、Morpheusなど)
- ローカルネットワークを使用して自身を共有します
・さらに、このウイルスはリモートアクセス型トロイの木馬としても機能し、ハッカーはターゲットマシンに接続できます。
・このウイルスは破壊的な発病ルーチンも含んでいます。この発病ルーチンは、各種のセキュリティ関連のアプリケーションのプロセスを終了させ、これらの関連ファイルを削除します。
大量メール送信
・このウイルスはOutlookを使用して送信メッセージを作成し、Outlookのコンタクトリストにある宛先に自身をANAKON.JPGとして送信します。送信メッセージは以下のようにフォーマットされています。
件名:
- Do you happy?
- Riyadh Issue: Al-Qaeda vs FBI
- Osama Bin Laden Come Back!
- Al-Qaeda News: Bombing Mission Success!
- Check This Out!
- Re: can mali can!
- Al-Qaeda Team Entertainment News
- [AQTE News]
- Al-Jazeera: AQTE Come back!
- Hi, may I read your mind?
- Acheh Issue: What Solution!
- Saddam Hussein Still alive
- Iraqi people don't want US Control.
- Let's Iraqi people build their country.
- Download New 256-Bit Encryption Software
- Alert! W32.HLLW.Anacon@mm Worm Has been detected!
- Register you Windows Now!
- Get free update Microsoft Windows Media Player
- TIPS: How to hide your IP Address!
- How to Protect you PC from Hackers!
メッセージ本文:
Hi dear, Once I was first saw you, I was fall in love! Even you are already has special friend!
Fall In Love,
Rekcahlem ~=~ Anacon
添付ファイル: ANAKON.JPG
ピアツーピアを介した繁殖
・このウイルスは以下のディレクトリに自身をコピーし、ピアツーピアネットワークを介して繁殖します。
- %ProgramFiles%\KMD\My Shared Folder\
- %ProgramFiles%\Kazaa\My Shared Folder\
- %ProgramFiles%\KaZaA Lite\My Shared Folder\
- %ProgramFiles%\Morpheus\My Shared Folder\
- %ProgramFiles%\Grokster\My Grokster\
- %ProgramFiles%\BearShare\Shared\
- %ProgramFiles%\Edonkey2000\Incoming\
- %ProgramFiles%\limewire\Shared\
(%ProgramFiles%はシステムプログラムファイルのディレクトリです。例えば、C:\PROGRAM FILESなど)
・以下のような注目を引くファイル名を使用して、ユーザがウイルスをダウンロードして実行するように仕向けます。
- X-Men II Trailer.mpg.exe
- The Matrix Reloaded.jpg.exe
- Jonny English (JE).avi.exe
- EmpireEarthII.msi.exe
- Setup.exe
- JumpingJumping.exe
- SuperMarioBrother.exe
- YoungAndNotTooDangerous.exe
- Nokia8250Series.exe
- About SARS Solution.doc.exe
- Dont eat pork.. SARS in there.jpg.exe
- Mesmerize.exe
- MSVisual C++.exe
- Installer.exe
- Q544512.exe
- jdbgmgr.exe
- WindowsXP PowerToys.exe
- WMovie Maker II.exe
- WindowsUpdate.exe
- SEX_HOT.exe
リモートアクセス機能
・このウイルスはバックドア機能も含んでいます。ただし、テスト時にはこの機能は見られませんでした。ウイルス内のデータから、ハッカーはこのウイルスを使用してターゲットマシンに接続し、各種のコマンドを出すことができると考えられます。
その他
・このウイルスは以下の文字列も含んでいます。
I WARN TO YOU! DON'T PLAY STUPID WITH ME! ANACON MELHACKER WILL SURVIVE!, Anacon, Melhacker, Dincracker, PakBrain and AQTE
Anacon G0t ya! By Melhacker - The Real Hacker!
