製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス名危険度
W32/Naco.b@mm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4267
対応定義ファイル
(現在必要とされるバージョン)
4371 (現在7401)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Naco.B@mm (Symantec):WORM_NACO.B (Trend)
情報掲載日03/05/28
発見日(米国日付)03/05/27
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・総称による検出:W32/Naco.b@mmは、定義ファイル4174以降でヒューリスティックプログラムを有効にして“圧縮ファイルをスキャンする”と、“virus or variant New Worm”(特定のウイルス名ではなく、ウイルスの総称です)として検出されます。

・W32/Naco.b@mmはW32/Naco.a@mmに似ており、以下の方法で繁殖します。

  • Outlookのコンタクトリストにある宛先に自身を送信する
  • ピアツーピアファイル共有ネットワーク(例:KaZaA、ICQなど)で自身を共有する
  • ローカルネットワークで自身を共有する

・W32/Naco.b@mmは、3つのファイル(anacon.batファイル、mswinsck.ocxファイル、およびnaco.exeファイル)を含むパッケージで届きます。

・このワームはリモートアクセス型トロイの木馬としても機能します。ハッカーは、ターゲットマシンにアクセスできます。 ・このワームには破壊的な感染ルーチンがあります。さまざまなセキュリティ関連アプリケーションのプロセスを終了させ、関連ファイルを削除します。

大量メール送信

・W32/Naco.b@mmは、Outlookのコンタクトリストにある宛先に、さまざまな名前の添付ファイルで自身を送信します。Outlookを使用して、以下のような送信メッセージを作成します。

件名:

  • Do you happy?
  • Great News! Check it out now!
  • Just for Laught!
  • TIPs: HOW TO JUMP PC TO PC VIA INTERNET?
  • What New in TechTV!
  • FoxNews Reporter: Hello! SARS Issue!
  • Get Free XXX Web Porn!
  • Oh, my girl!
  • Crack - Download Accerelator Plus 5.3.9
  • Do you remember me?
  • The ScreenSaver: Wireless Keyboard
  • VBCode: Prevent Your Application From Crack
  • Re: are you married?(1)
  • Download WinZip 9.0 Beta
  • Young and Dangerous 7
  • Alert! W32.Anacon.B@mm Worm Has been detected!
  • Run for your life!
  • Update: Microsoft Visual Studio .Net
  • Your Password: jad8aadf08
  • Tired to Search Anonymous SMTP Server?

本文:

Hello dear,
I'm gonna missed you babe, hope we can see again!

In Love,
Rekcahlem ~<>~ Anacon

添付ファイル:以下のいずれか

  • anacon.exe
  • build.exe
  • force.exe
  • scan.exe
  • runtime.exe
  • hangup.exe
  • hungry.exe
  • thing.exe
  • against.exe
  • wars.exe

ピアツーピアを介した繁殖

・ピアツーピアネットワークを介して繁殖するために、以下のディレクトリに自身をコピーします。

  • %ProgramFiles%\KMD\My Shared Folder\
  • %ProgramFiles%\Kazaa\My Shared Folder\
  • %ProgramFiles%\KaZaA Lite\My Shared Folder\
  • %ProgramFiles%\Morpheus\My Shared Folder\
  • %ProgramFiles%\Grokster\My Grokster\
  • %ProgramFiles%\BearShare\Shared\
  • %ProgramFiles%\Edonkey2000\Incoming\
  • %ProgramFiles%\limewire\Shared\
(%ProgramFiles%はシステムプログラムファイルのディレクトリ。例:C:\PROGRAM FILES)

・以下のような注目を引くファイル名を使用して、ユーザがウイルスをダウンロードして実行するように仕向けます。

  • The Matrix Evolution.mpg.exe
  • The Matrix Reloaded Preview.jpg.exe
  • Jonny English (JE).avi.exe
  • DOOM III Demo.exe
  • winamp3.exe
  • JugdeDread.exe
  • Microsoft Visual Studio.exe
  • gangXcop.exe
  • Upgrade you HandPhone.exe
  • About SARS Solution.doc.exe
  • Dont eat pork. SARS in there.jpg.exe
  • VISE.exe
  • MSVisual C++.exe
  • QuickInstaller.exe
  • Q111023.exe
  • jdbgmgr.exe
  • WindowsXP PowerToys.exe
  • InternationalDictionary.exe
  • EAGames.exe
  • SEX_HOTorCOOL.exe

リモートアクセス機能

・W32/Naco.b@mmには、バックドア機能もあります。1500〜1600番のポートの一覧をターゲットマシンで開きます。電子メールアドレスchatza@phreaker.netに以下の情報を記載した電子メールを送信して、感染システムを通知します。このファイルのデータから、以下の情報が送信されると考えられます。

  • EXE Backdoor Name:
  • Operating System:
  • Internet Explorer Version:
  • Windows Directories:
  • System Directories:
  • Current Screen Resolution:
  • Current Time:
  • IP Address:
  • Current Port Number:
  • UserName:
  • ComputerName:
  • Cached Password: (For Win9x/Me Only)
  • Host:
  • Drive(s):
  • Type of Drives:
  • InternalName
  • ICQ UINs:
  • Sound Card:

・ハッカーはターゲットマシンに接続して、以下のような機能を実行します。

  • CDトレイを開く
  • キーロガーをドロップ(作成)する
  • リンク(http://vx.netlux.org/~melhacker/anaconII.exe)から、ウイルスのファイルをアップデートする

その他

・W32/Naco.b@mmは、以下の文字列も含んでいます。

I WARN TO YOU! DON'T PLAY STUPID WITH ME! ANACON MELHACKER WILL SURVIVE!, Anacon, Melhacker, Dincracker, PakBrain, Foot-Art and Anacon G0t ya! By Melhacker

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・「感染方法」に記載されているファイルとレジストリキーが存在します。

感染方法TOPへ戻る

・W32/Naco.b@mmは、電子メール、ピアツーピアファイル共有ネットワークを介して、およびターゲットマシン上で自身を共有して繁殖します。

・W32/Naco.b@mmは自己解凍型アーカイブファイルのドロッパ(137,651バイト)で構成されており、W32/Naco.b@MMとして検出されます。このドロッパがターゲットマシンで実行されると、以下の3つのファイルを抽出します。

  • MSWINSCK.OCX:Winsockコントロールライブラリ
  • ANACON.BAT:上記のライブラリをインストール(および登録)するバッチスクリプト。自身を削除する前にNACO.EXEファイル(以下参照)を実行
  • NACO.EXE(86,016バイト):(ワームに機能を付与する)Visual Basicバイナリファイル。W32/Naco.b@MMとして検出

・NACO.EXEファイルが実行されると、以下のファイルをターゲットマシンにインストールします。

  • %SysDir%\SYSPOLY32.EXE(86,016バイト):NACO.EXEファイルのコピー
  • SysDir%\WARS.EXE(137,651バイト):完全なSFXパッケージ
(%SysDir%は、Windows Systemディレクトリ。例:C:\WINDOWS\SYSTEM)

・以下のレジストリキーを作成して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "PowerManagement"= C:\WINDOWS\SYSTEM\\SYSPOLY32.EXE
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "AHU" = C:\WINDOWS\SYSTEM\\SYSPOLY32.EXE
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Nocana" = C:\WINDOWS\SYSTEM\wars.exe
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "InterceptedSystem" = C:\WINDOWS\SYSTEM\\SYSPOLY32.EXE

・ローカルのC:\:ドライブを共有するように、以下のレジストリキーも追加します。

  • HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lanmanserver\Shares "HACKERz"
  • HKEY_LOCAL_MACHINE\System\ControlSet002\Services\lanmanserver\Shares "HACKERz"
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\Shares "HACKERz"

・以下のレジストリキーを追加し(キー名はランダムに設定されます)、Mirabilis ICQ Agentアプリケーションキーを使用して、ICQの起動時に自身を起動します。

  • HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Gvjlkfbip "Enable" = Yes
  • HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Gvjlkfbip "Parameters" =
  • HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Gvjlkfbip "Path" = C:\WINDOWS\SYSTEM\\SYSPOLY32.EXE
  • HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Gvjlkfbip "Startup" = Data: C:\WINDOWS\SYSTEM\

・以下のセキュリティ関連アプリケーションをターゲットにします。これらのアプリケーションを発見すると、(Windows 9xシステム上で適切なNUL=%filename%エントリを使用してWININIT.INIファイルを作成し)、プロセスを終了して関連ファイルを削除します。

  • Zonealarm.exe
  • Wfindv32.exe
  • Webscanx.exe
  • Vsstat.exe
  • Vshwin32.exe
  • Vsecomr.exe
  • Vscan40.exe
  • Vettray.exe
  • Vet95.exe
  • Tds2-Nt.exe
  • Tds2-98.exe
  • Tca.exe
  • Tbscan.exe
  • Sweep95.exe
  • Sphinx.exe
  • Smc.exe
  • Serv95.exe
  • Scrscan.exe
  • Scanpm.exe
  • Scan95.exe
  • Scan32.exe
  • Safeweb.exe
  • Regedit.exe
  • Rescue.exe
  • Rav7win.exe
  • Rav7.exe
  • Persfw.exe
  • Pcfwallicon.exe
  • Pccwin98.exe
  • Pavw.exe
  • Pavsched.exe
  • Pavcl.exe
  • Padmin.exe Outpost.exe
  • Nvc95.exe
  • Nupgrade.exe
  • Normist.exe
  • Nmain.exe
  • Nisum.exe
  • Navwnt.exe
  • Navw32.exe
  • Navnt.exe
  • Navlu32.exe
  • Navapw32.exe
  • N32scanw.exe
  • Mpftray.exe
  • Moolive.exe
  • Luall.exe
  • Lookout.exe
  • Lockdown2000.exe
  • Jedi.exe
  • Iomon98.exe
  • Iface.exe
  • Icsuppnt.exe
  • Icsupp95.exe
  • Icmon.exe
  • Icloadnt.exe
  • Icload95.exe
  • Ibmavsp.exe
  • Ibmasn.exe
  • Iamserv.exe
  • Iamapp.exe
  • Frw.exe
  • Fprot.exe
  • Fp-Win.exe
  • Findviru.exe
  • f-Stopw.exe
  • f-Prot95.exe
  • f-Prot.exe
  • f-Agnt95.exe
  • Espwatch.exe
  • Esafe.exe
  • Ecengine.exe
  • Dvp95_0.exe
  • Dvp95.exe
  • Cleaner3.exe
  • Cleaner.exe
  • Claw95cf.exe
  • Claw95.exe
  • Cfinet32.exe
  • Cfinet.exe
  • Cfiaudit.exe
  • Cfiadmin.exe
  • Blackice.exe
  • Blackd.exe
  • Avwupd32.exe
  • Avwin95.exe
  • Avsched32.exe
  • Avpupd.exe
  • Avptc32.exe
  • Avpm.exe
  • Avpdos32.exe
  • Avpcc.exe
  • Avp32.exe
  • Avp.exe
  • Avnt.exe
  • Avkserv.exe
  • Avgctrl.exe
  • Ave32.exe
  • Avconsol.exe
  • Autodown.exe
  • Apvxdwin.exe
  • Anti-Trojan.exe
  • Ackwin32.exe
  • _Avpm.exe
  • _Avpcc.exe
  • _Avp32.exe

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足