製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス名危険度
W32/Naco.d@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4267
対応定義ファイル
(現在必要とされるバージョン)		4371 (現在7109)
対応エンジン4.1.60以降 (現在5.4.00) 
エンジンバージョンの見分け方
情報掲載日03/06/03
発見日(米国日付)03/06/02
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
06/17RDN/Sdbot.bf...
06/17VBS/LoveLett...
06/17Generic Qhos...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7109
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・総称による検出:W32/Naco.d@MMは、定義ファイル4249以降と4.2.40エンジンでヒューリスティックプログラムを有効にして圧縮ファイルをスキャンすると、“VB-BackDoor1.gen”(特定のウイルス名ではなく、ウイルスの総称です)として検出されます。

・W32/Naco.d@MMはW32/Naco.a@MMに似ており、以下の方法で繁殖します。

  • Outlookのコンタクトリストにある宛先に自身を送信する
  • ピアツーピアファイル共有ネットワーク(例:KaZaA、ICQなど)で自身を共有する
  • ローカルネットワークで自身を共有する

・W32/Naco.d@MMは電子メールの添付ファイルで届き、リモートアクセス型トロイの木馬としても機能します。ハッカーは、ターゲットマシンに接続できます。

・このワームには、複数の破壊的な発病ルーチンがあります。さまざまなセキュリティ関連アプリケーションのプロセスを終了させ、関連ファイルを削除します。Webサイトの改ざんやファイルの削除も行います。

大量メール送信

・W32/Naco.d@MMは、Outlookのコンタクトリストにある宛先に、さまざまな名前の添付ファイルで自身を送信します。Outlookを使用して、以下のような送信メッセージを作成します。

件名:

  • Alert!
  • Crack for Nokia LogoManager 1.3
  • FoxNews Reporter: There are no Solution for SARS?
  • Free SMS Via NACO SMS!
  • Get Free SMTP Server at Click Here!
  • Get Your Free XXX Password!
  • Gotcha baby!
  • Help me plz?
  • Nelly Furtado!
  • New Variant Anacon.D has been detected!
  • New! Dragon Ball Fx
  • News: US Goverment try to make wars with Tehran.
  • Out of my heart?
  • Patch for Microsoft Windows XP 64bit
  • Re: are you married?(3)
  • Seagate Baracuda 80GB for $???
  • Small And Destrucive!
  • TechTV: New Anti Virus Software
  • TIPs: HOW TO DEFACE A WEBSERVER?
  • What New in The ScreenSaver!
  • Your FTP Password: iuahdf7d8hf

本文:

  • Hello dear, I'm gonna missed you babe, hope we can see again! In Love, Rekcahlem ~<>~ Anacon
  • Hi babe, Still missing me! I have send to you a special gift I made it my own. Just for you. Check it out the attachment. Your Love, Rekcahlem
  • Great to see you again babe! This is file you want las week. Please don't distribute it to other. Regard, V.C.
  • Attention! Please do not eat pork! The SARS virus may come from the pig. So becareful. For more information check the attachment. Regard, WTO
  • (空白)You may not see the message because the message has been convert to the attachment. Please open an attachment to see the message.

添付ファイル:以下のいずれか

  • anacon32.exe
  • naco.exe

ピアツーピアを介した繁殖

・W32/Naco.d@MMは、ピアツーピア共有フォルダに自身をコピーします。レジストリを照会して、プログラムパスを取得します。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ProgramFilesDir

・次に、以下の文字列を含むフォルダを検索して、自身をコピーします。

  • KMD\My Shared Folder
  • My Shared Folder
  • Lite\My Shared Folder
  • My Grokster
  • Shared
  • Incoming

・以下のような注目を引くファイル名を使用して、ユーザがワームをダウンロードして実行するように仕向けます。

  • About SARS Solution.exe
  • Anacon The Great.exe
  • DialUp.exe
  • Dincracker eZine.exe
  • Dont Eat Pork SARS in there.exe
  • Downloader.exe
  • fxanacon.exe
  • Generate a Random PAssword.exe
  • Get Lost.exe
  • GetMorePower.exe
  • Hack In 5 Minute.exe
  • Hacker HandBook.exe
  • HeavyMetal.exe
  • Hide Your Mount.exe
  • JackAndGinnie.exe
  • La Intrusa.exe
  • Lost YourPassword.exe
  • MSWINSCK.exe
  • NEW POWERTOY FOR WINXP.exe
  • New Variant.exe
  • NokiaPolyPhonic.exe
  • OfficeXP.exe
  • Oh Yeah Babe.exe
  • Patch - jdbgmgr.exe
  • Porta.exe
  • Replacement Killer 2.exe
  • Ripley Believe It Or Not.exe
  • RosalindaAyamor
  • SMTP OCX.exe
  • Sucker.exe
  • The Lost Jungle.exe
  • The Matrix Reloaded Trailer.exe
  • TIPS HOW TO CRACK SYMANTEC SERVER.exe
  • Trailer DOOM III.exe
  • Uninstal.exe
  • VISE MINDVISION.exe
  • WhatIsGoingOn.exe
  • WindowsSecurity Patch.exe
  • WinZip9Beta.exe

リモートアクセス機能

・W32/Naco.d@MMには、バックドア機能もあります。さまざまなポートを聴取して、電子メールアドレスchatza@phreaker.netに電子メールで通知します。このファイルのデータから、以下の情報が送信されると考えられます。

  • EXE Backdoor Name:
  • Operating System:
  • Internet Explorer Version:
  • Windows Directories:
  • System Directories:
  • Current Screen Resolution:
  • Current Time:
  • IP Address:
  • Current Port Number:
  • UserName:
  • ComputerName:
  • Cached Password: (For Win9x/Me Only)
  • Host:
  • Drive(s):
  • Type of Drives:
  • InternalName
  • ICQ UINs:
  • Sound Card:

・ハッカーはターゲットマシンにアクセスして、以下のタスクを実行します。

  • CDトレイを開く
  • キーロガーをドロップ(作成)する
  • リンク(http://blocked.netlux.org/~melhacker/anaconIV.exe)から、ウイルスのファイルをアップデートする

サービス拒否(DoS)機能

・W32/Naco.d@MMは、以下のイスラエルとユダヤ系のWebサイトに対するサービス拒否(DoS)攻撃を仕掛ける命令を含んでいます。

  • 212.143.236.4
  • 62.154.244.36
  • 209.61.182.140
  • 198.65.148.153
  • 212.150.63.115
  • 208.40.175.222
  • 161.58.232.244
  • 161.58.197.155
  • 194.90.114.5
  • 147.237.72.91

Webサイトの改ざん

・W32/Naco.d@MMは、以下の\Inetpub\wwwrootフォルダのファイルを上書きします。

  • default.asp
  • default.htm
  • default.html
  • index.asp
  • index.htm
  • index.html

・以下のテキストを含んでいます。

G02 WARNING! YOUR WEB SERVER HAS BEEN HACKED BY ANACON MELHACKER. Anacon G0t ya! By Melhacker

ファイル削除

・W32/Naco.d@MMは、CドライブとDドライブのファイルをすべて削除します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・「感染方法」に記載されているファイルとレジストリキーが存在します。

感染方法TOPへ戻る

・W32/Naco.d@MMは、電子メール、ピアツーピアファイル共有ネットワークを介して、およびターゲットマシン上で自身を共有して繁殖します。 ・感染した添付ファイルが実行されると、ターゲットマシンに以下のファイルをインストールします。

  • %SysDir%\ANACON32.EXE

    (%SysDir%は、Windows Systemディレクトリ。例:C:\WINDOWS\SYSTEM)

・以下のキーを設定して、システムの起動をフックします。

  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
    Run "Under20" = C:\WINNT\SYSTEM32\\ANACON32.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "ALM" = C:\WINNT\SYSTEM32\\ANACON32.EXE
    • 1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServices "Services" = C:\WINNT\SYSTEM32\\ANACON32.EXE

・ローカルのC:\ドライブを共有するように、以下のキーも追加します。

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\Shares "HACKERz"

・以下のレジストリキーを追加し(ランダムな名前が設定されるキーもあります)、Mirabilis ICQ Agentアプリケーションキーを使用して、ICQの起動時に自身を起動します。

  • HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Gvjlkfbip "Enable" = Yes
  • HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Gvjlkfbip "Parameters" =
  • HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Gvjlkfbip "Path" = C:\WINDOWS\SYSTEM\\SYSPOLY32.EXE
  • HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\Gvjlkfbip "Startup" = Data: C:\WINDOWS\SYSTEM\

・以下のセキュリティ関連のアプリケーションをターゲットにします。これらのアプリケーションを発見すると、(Windows 9xシステム上で適切なNUL=%filename%エントリを使用してWININIT.INIファイルを作成し)、プロセスを終了して関連ファイルを削除します。

  • Ackwin32.exe
  • Anti-Trojan.exe
  • Apvxdwin.exe
  • Autodown.exe
  • Avconsol.exe
  • Ave32.exe
  • Avgctrl.exe
  • Avkserv.exe
  • Avnt.exe
  • Avp32.exe
  • Avp32.exe
  • Avpcc.exe
  • Avpcc.exe
  • Avpdos32.exe
  • Avpm.exe
  • Avpm.exe
  • Avptc32.exe
  • Avpupd.exe
  • Avsched32.exe
  • Avwin95.exe
  • Avwupd32.exe
  • Blackd.exe
  • Blackice.exe
  • Cfiadmin.exe
  • Cfiaudit.exe
  • Cfinet.exe
  • Cfinet32.exe
  • Claw95.exe
  • Claw95cf.exe
  • Cleaner.exe
  • Cleaner3.exe
  • Dvp95.exe
  • Dvp95_0.exe
  • Ecengine.exe
  • Esafe.exe
  • Espwatch.exe
  • F-Agnt95.exe
  • Findviru.exe
  • Fprot.exe
  • F-Prot.exe
  • F-Prot95.exe
  • F-Stopw.exe
  • Iamapp.exe
  • Iamserv.exe
  • Ibmasn.exe
  • Ibmavsp.exe
  • Icload95.exe
  • Icloadnt.exe
  • Icmon.exe
  • Icsupp95.exe
  • Icsuppnt.exe
  • Iface.exe
  • Iomon98.exe
  • Jedi.exe
  • Lockdown2000.exe
  • Lookout.exe
  • Luall.exe
  • Moolive.exe
  • Mpftray.exe
  • N32scanw.exe
  • Navapw32.exe
  • Navlu32.exe
  • Navnt.exe
  • Navw32.exe
  • Navwnt.exe
  • Nisum.exe
  • Nmain.exe
  • Normist.exe
  • Nupgrade.exe
  • Nvc95.exe
  • Outpost.exe
  • Padmin.exe
  • Pavcl.exe
  • Pavsched.exe
  • Pavw.exe
  • Pccwin98.exe
  • Pcfwallicon.exe
  • Persfw.exe
  • Rav7.exe
  • Rav7win.exe
  • Regedit.exe
  • Rescue.exe
  • Safeweb.exe
  • Scan32.exe
  • Scan95.exe
  • Scanpm.exe
  • Scrscan.exe
  • Serv95.exe
  • Sphinx.exe
  • Sweep95.exe
  • Tbscan.exe
  • Tds2-98.exe
  • Tds2-NT.exe
  • Vet95.exe
  • Vettray.exe
  • Vscan40.exe
  • Vsecomr.exe
  • Vshwin32.exe
  • Vsstat.exe
  • Webscanx.exe
  • Wfindv32.exe
  • Zonealarm.exe

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足