製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス名危険度
W32/Nexiv.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4292
対応定義ファイル
(現在必要とされるバージョン)
4292 (現在7600)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/09/10
発見日(米国日付)03/09/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Nexiv.wormはIRCベースのワームで、セキュリティが不十分なネットワーク共有で繁殖します。以下の脆弱性も悪用します。

総称による検出

・McAfee製品は、RAR SFXに含まれる複数のファイルを総称で検出します。圧縮ファイルのスキャンを有効にすると、繁殖活動において中心的な役割を果たす以下のコンポーネントを総称で検出します。

  • SYSCONF32.EXE:定義ファイル4209以降で、Downloader-AKとして検出(ファイルの解凍には、4.2.40エンジンが必要)。バイナリファイル。メインのSFXアーカイブをダウンロードして複製サイクルを再開するために、リモートマシンにコピーして、実行
  • DCOM.EXE:DcomRPCの脆弱性(MS03-026 )を悪用。定義ファイル4288以降で、Exploit-DcomRPCウイルスとして検出。DcomRPCの脆弱性の悪用以外でも、W32/Lovsan.worm.aとの類似点あり
  • EXPLORED.EXE:ワームの機能の中心部を担うmIRCクライアント。定義ファイル4269以降でIRC/Flood.cfの亜種として検出

繁殖メカニズムの概要

・W32/Nexiv.wormは、親SFXアーカイブ(SLET.EXEというファイル名の可能性があります、813,740バイト)が実行されると、ローカルマシンに感染します。感染すると、%SysDir%ディレクトリに多数のファイル(一部は無害のファイル)を落とし込みます。

・落とし込まれたバッチスクリプトの1つは、セキュリティが不十分なリモート共有へのアクセスを試みます。アクセスに成功すると、そのリモートマシンでトロイの木馬型ダウンローダ(SYSCONF32.EXEファイル)を実行します。このダウンローダは、親SFXアーカイブ(SLET.EXEファイル)をダウンロードして実行するように設定されており、繁殖サイクルを再開します。

インストール

・SFXドロッパが実行されると、%SysDir%ディレクトリに以下のような多数のファイルを落とし込みます。

  • aliases.ini(83バイト):IRC設定スクリプト。上記のエンジン/定義ファイルで検出
  • dcom.exe(4,608バイト):MS03-026 の脆弱性を悪用するコンポーネント。総称で検出(上記参照)
  • Explored.exe(640,000バイト):mIRCクライアント。総称で検出(上記参照)
  • ie6.dat(209バイト):IRC設定スクリプト。上記のエンジン/定義ファイルで検出
  • kernel33.exe(22,016バイト):IRC/Flood.eとして検出
  • kill.exe(15,872バイト):プロセスを終了させる、無害なアプリケーション
  • mirc.ini(2,894バイト):IRC設定スクリプト。上記のエンジン/定義ファイルで検出
  • moo.dll(106,496バイト):無害なIRCファイル
  • optixcl.exe(4,128バイト)
  • psexec.exe(37,376バイト):RemoteProcessLaunchアプリケーションとして検出
  • remote.ini(714バイト):IRC設定スクリプト。上記のエンジン/定義ファイルで検出
  • scan.jpg(3,178バイト):IRC設定スクリプト。上記のエンジン/定義ファイルで検出
  • SECURE.BAT(458バイト):IRC/Flood.biとして検出
  • server.txt(2,248バイト):ログファイル
  • servers.txt(77バイト):アクセス先のIRCサーバのリスト
    • irc.zeter.net
    • irc.xstatic-irc.com
    • irc.fuckin-elite.org
    • irc.xtreme-chat.net
  • syn.dll(1,045バイト):IRC設定スクリプト。上記のエンジン/定義ファイルで検出。SYNフラッド攻撃関連ファイル
  • SysConf32.exe(3,216バイト):トロイの木馬型ダウンローダ(Downloader-AK)。総称による検出(上記参照)
  • temp.scr(13,395バイト):IRCのユーザ名リスト
  • v32driver.bat(12,256バイト):バッチスクリプト。IRC/Flood.bqとして検出
  • w32C.dll (11,264バイト):mIRCユーティリティDLL
  • W32F7s.dll(42バイト):設定ファイル
  • W32Gx.dll(67バイト):IRC設定スクリプト。上記のエンジン/定義ファイルで検出
  • W32xGPL.exe(1,024バイト):FSGで圧縮されたPEファイル。mIRCクライアントを起動。以下のレジストリキーでシステムの起動をフック
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    • urrentVersion\Run
      "Micro0soft Updater" = %SysDir%\W32xGPL.EXE
  • wget.dll(3,152バイト):IRC設定スクリプト。IRC/Flood.bcとして検出
  • wi354.dat(26バイト):IRC設定スクリプト。上記のエンジン/定義ファイルで検出
  • win32.dat(397バイト):IRC設定スクリプト。上記のエンジン/定義ファイルで検出
  • winconf.dll(68,177バイト):IRC設定スクリプト。上記のエンジン/定義ファイルで検出
  • WS_FTP.LOG(99バイト):FTPのアプリケーションログファイル
  • y32pL.dll(3,990バイト):IRC設定スクリプト。上記のエンジン/定義ファイルで検出

・W32/Nexiv.wormが実行されると、IRCサーバにアクセスして特定のチャネルに参加し、ハッカーからの以下のようなコマンドを待ちます。

  • ターゲットマシンに対するSYNフラッド攻撃の実行
  • システム情報やネットワーク情報の取得
  • 特定のポート(Sub7とOptixKiller関連)が開いていないか確認
  • ワームの削除
  • Windows Registry(例:Windows、Photoshop)からシリアルキーを取得
  • RPCの脆弱性を悪用するリモートマシンをスキャン(dcom.exeファイルを使用)

・少なくとも1つのIRCスクリプトには、以下のテキストが含まれています。

HellFire 1.5a by ^htv^ & Crash

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

感染方法TOPへ戻る

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足