製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス名危険度
W32/Naco.a@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4267
対応定義ファイル
(現在必要とされるバージョン)
4371 (現在7544)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Anacon (AVP)
情報掲載日03/05/20
発見日(米国日付)03/05/19
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・検出:W32/Naco.a@MMはヒューリスティックプログラムを有効にして"圧縮ファイルをスキャン"すると、定義ファイル4174以降で"virus or variant New Worm"として検出されます。

・このウイルスはVisual Basicで作成されており、以下の方法で繁殖します。

  • Outlookのコンタクトリストにある宛先に自身をメール送信します
  • ピアツーピアファイル共有ネットワークを使用して自身を共有します(例えば、KaZaA、Morpheusなど)
  • ローカルネットワークを使用して自身を共有します

・さらに、このウイルスはリモートアクセス型トロイの木馬としても機能し、ハッカーはターゲットマシンに接続できます。

・このウイルスは破壊的な発病ルーチンも含んでいます。この発病ルーチンは、各種のセキュリティ関連のアプリケーションのプロセスを終了させ、これらの関連ファイルを削除します。

大量メール送信

・このウイルスはOutlookを使用して送信メッセージを作成し、Outlookのコンタクトリストにある宛先に自身をANAKON.JPGとして送信します。送信メッセージは以下のようにフォーマットされています。

件名:

  • Do you happy?
  • Riyadh Issue: Al-Qaeda vs FBI
  • Osama Bin Laden Come Back!
  • Al-Qaeda News: Bombing Mission Success!
  • Check This Out!
  • Re: can mali can!
  • Al-Qaeda Team Entertainment News
  • [AQTE News]
  • Al-Jazeera: AQTE Come back!
  • Hi, may I read your mind?
  • Acheh Issue: What Solution!
  • Saddam Hussein Still alive
  • Iraqi people don't want US Control.
  • Let's Iraqi people build their country.
  • Download New 256-Bit Encryption Software
  • Alert! W32.HLLW.Anacon@mm Worm Has been detected!
  • Register you Windows Now!
  • Get free update Microsoft Windows Media Player
  • TIPS: How to hide your IP Address!
  • How to Protect you PC from Hackers!

メッセージ本文:
Hi dear, Once I was first saw you, I was fall in love! Even you are already has special friend!

Fall In Love,
Rekcahlem ~=~ Anacon

添付ファイル: ANAKON.JPG

ピアツーピアを介した繁殖

・このウイルスは以下のディレクトリに自身をコピーし、ピアツーピアネットワークを介して繁殖します。

  • %ProgramFiles%\KMD\My Shared Folder\
  • %ProgramFiles%\Kazaa\My Shared Folder\
  • %ProgramFiles%\KaZaA Lite\My Shared Folder\
  • %ProgramFiles%\Morpheus\My Shared Folder\
  • %ProgramFiles%\Grokster\My Grokster\
  • %ProgramFiles%\BearShare\Shared\
  • %ProgramFiles%\Edonkey2000\Incoming\
  • %ProgramFiles%\limewire\Shared\
    (%ProgramFiles%はシステムプログラムファイルのディレクトリです。例えば、C:\PROGRAM FILESなど)

・以下のような注目を引くファイル名を使用して、ユーザがウイルスをダウンロードして実行するように仕向けます。

  • X-Men II Trailer.mpg.exe
  • The Matrix Reloaded.jpg.exe
  • Jonny English (JE).avi.exe
  • EmpireEarthII.msi.exe
  • Setup.exe
  • JumpingJumping.exe
  • SuperMarioBrother.exe
  • YoungAndNotTooDangerous.exe
  • Nokia8250Series.exe
  • About SARS Solution.doc.exe
  • Dont eat pork.. SARS in there.jpg.exe
  • Mesmerize.exe
  • MSVisual C++.exe
  • Installer.exe
  • Q544512.exe
  • jdbgmgr.exe
  • WindowsXP PowerToys.exe
  • WMovie Maker II.exe
  • WindowsUpdate.exe
  • SEX_HOT.exe

リモートアクセス機能

・このウイルスはバックドア機能も含んでいます。ただし、テスト時にはこの機能は見られませんでした。ウイルス内のデータから、ハッカーはこのウイルスを使用してターゲットマシンに接続し、各種のコマンドを出すことができると考えられます。

その他

・このウイルスは以下の文字列も含んでいます。

I WARN TO YOU! DON'T PLAY STUPID WITH ME! ANACON MELHACKER WILL SURVIVE!, Anacon, Melhacker, Dincracker, PakBrain and AQTE

Anacon G0t ya! By Melhacker - The Real Hacker!

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・感染方法に記載するファイルおよびレジストリキーが存在します。

感染方法TOPへ戻る

・このウイルスは電子メール、ピアツーピアファイル共有ネットワークを介して、ターゲットマシンから自身を共有することで繁殖します。

・このウイルスは以下のファイル名でターゲットマシンにインストールされます。

%SysDir%\ANACON.EXE
(%SysDir%はWindows Systemディレクトリです。例えば、C:\WINDOWS\SYSTEMなど)

・以下のキーを設定して、システムの起動をフックします(キー名はランダムに設定されます)。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"AHU" = C:\WINDOWS\SYSTEM\ANACON.EXE

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Hvewsveqmg"= C:\WINDOWS\SYSTEM\ANACON.EXE

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Cvfjx" = C:\WINDOWS\SYSTEM\ANACON.EXE

・ローカルのC:\を共有するように、以下のキーが追加されます。

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lanmanserver\Shares "HACKERz"

HKEY_LOCAL_MACHINE\System\ControlSet002\Services\lanmanserver\Shares "HACKERz"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\Shares "HACKERz"

・このウイルスは以下のセキュリティ関連のアプリケーションをターゲットにしています。これらのアプリケーションを見つけると、(Windows 9x上で適切なNUL=%filename%エントリを使用してWININIT.INIを作成することにより、)プロセスを終了させて関連ファイルを削除します。

  • _Avp32.exe
  • _Avpcc.exe
  • _Avpm.exe
  • Ackwin32.exe
  • Anti-Trojan.exe
  • Apvxdwin.exe
  • Autodown.exe
  • Avconsol.exe
  • Ave32.exe
  • Avgctrl.exe
  • Avkserv.exe
  • Avnt.exe
  • Avp.exe
  • Avp32.exe
  • Avpcc.exe
  • Avpdos32.exe
  • Avpm.exe
  • Avptc32.exe
  • Avpupd.exe
  • Avsched32.exe
  • Avwin95.exe
  • Avwupd32.exe
  • Blackd.exe
  • Blackice.exe
  • Cfiadmin.exe
  • Cfiaudit.exe
  • Cfinet.exe
  • Cfinet32.exe
  • Claw95.exe
  • Claw95cf.exe
  • Cleaner.exe
  • Cleaner3.exe
  • Dvp95.exe
  • Dvp95_0.exe
  • Ecengine.exe
  • Esafe.exe
  • Espwatch.exe
  • f-Agnt95.exe
  • f-Prot.exe
  • f-Prot95.exe
  • f-Stopw.exe
  • Findviru.exe
  • Fp-Win.exe
  • Fprot.exe
  • Frw.exe
  • Iamapp.exe
  • Iamserv.exe
  • Ibmasn.exe
  • Ibmavsp.exe
  • Icload95.exe
  • Icloadnt.exe
  • Icmon.exe
  • Icsupp95.exe
  • Icsuppnt.exe
  • Iface.exe
  • Iomon98.exe
  • Jedi.exe
  • Lockdown2000.exe
  • Lookout.exe
  • Luall.exe
  • Moolive.exe
  • Mpftray.exe
  • N32scanw.exe
  • Navapw32.exe
  • Navlu32.exe
  • Navnt.exe
  • Navw32.exe
  • Navwnt.exe
  • Nisum.exe
  • Nmain.exe
  • Normist.exe
  • Nupgrade.exe
  • Nvc95.exe
  • Outpost.exe
  • Padmin.exe
  • Pavcl.exe
  • Pavsched.exe
  • Pavw.exe
  • Pccwin98.exe
  • Pcfwallicon.exe
  • Persfw.exe
  • Rav7.exe
  • Rav7win.exe
  • Regedit.exe
  • Rescue.exe
  • Safeweb.exe
  • Scan32.exe
  • Scan95.exe
  • Scanpm.exe
  • Scrscan.exe
  • Serv95.exe
  • Smc.exe
  • Sphinx.exe
  • Sweep95.exe
  • Tbscan.exe
  • Tca.exe
  • Tds2-98.exe
  • Tds2-Nt.exe
  • Vet95.exe
  • Vettray.exe
  • Vscan40.exe
  • Vsecomr.exe
  • Vshwin32.exe
  • Vsstat.exe
  • Webscanx.exe
  • Wfindv32.exe
  • Zonealarm.exe