McAfee for Small Businesses

・W32/Nexiv.wormはIRCベースのワームで、セキュリティが不十分なネットワーク共有で繁殖します。以下の脆弱性も悪用します。

• MS03-026 (Dcom RPC)

総称による検出

・McAfee製品は、RAR SFXに含まれる複数のファイルを総称で検出します。圧縮ファイルのスキャンを有効にすると、繁殖活動において中心的な役割を果たす以下のコンポーネントを総称で検出します。

• SYSCONF32.EXE：定義ファイル4209以降で、Downloader-AKとして検出（ファイルの解凍には、4.2.40エンジンが必要）。バイナリファイル。メインのSFXアーカイブをダウンロードして複製サイクルを再開するために、リモートマシンにコピーして、実行
• DCOM.EXE：DcomRPCの脆弱性(MS03-026 )を悪用。定義ファイル4288以降で、Exploit-DcomRPCウイルスとして検出。DcomRPCの脆弱性の悪用以外でも、W32/Lovsan.worm.aとの類似点あり
• EXPLORED.EXE：ワームの機能の中心部を担うmIRCクライアント。定義ファイル4269以降でIRC/Flood.cfの亜種として検出

繁殖メカニズムの概要

・W32/Nexiv.wormは、親SFXアーカイブ（SLET.EXEというファイル名の可能性があります、813,740バイト）が実行されると、ローカルマシンに感染します。感染すると、%SysDir%ディレクトリに多数のファイル（一部は無害のファイル）を落とし込みます。

・落とし込まれたバッチスクリプトの1つは、セキュリティが不十分なリモート共有へのアクセスを試みます。アクセスに成功すると、そのリモートマシンでトロイの木馬型ダウンローダ（SYSCONF32.EXEファイル）を実行します。このダウンローダは、親SFXアーカイブ（SLET.EXEファイル）をダウンロードして実行するように設定されており、繁殖サイクルを再開します。

インストール

・SFXドロッパが実行されると、%SysDir%ディレクトリに以下のような多数のファイルを落とし込みます。

• aliases.ini（83バイト）：IRC設定スクリプト。上記のエンジン/定義ファイルで検出
• dcom.exe（4,608バイト）：MS03-026 の脆弱性を悪用するコンポーネント。総称で検出（上記参照）
• Explored.exe（640,000バイト）：mIRCクライアント。総称で検出（上記参照）
• ie6.dat（209バイト）：IRC設定スクリプト。上記のエンジン/定義ファイルで検出
• kernel33.exe（22,016バイト）：IRC/Flood.eとして検出
• kill.exe（15,872バイト）：プロセスを終了させる、無害なアプリケーション
• mirc.ini（2,894バイト）：IRC設定スクリプト。上記のエンジン/定義ファイルで検出
• moo.dll（106,496バイト）：無害なIRCファイル
• optixcl.exe（4,128バイト）
• psexec.exe（37,376バイト）：RemoteProcessLaunchアプリケーションとして検出
• remote.ini（714バイト）：IRC設定スクリプト。上記のエンジン/定義ファイルで検出
• scan.jpg（3,178バイト）：IRC設定スクリプト。上記のエンジン/定義ファイルで検出
• SECURE.BAT（458バイト）：IRC/Flood.biとして検出
• server.txt（2,248バイト）：ログファイル
• servers.txt（77バイト）：アクセス先のIRCサーバのリスト
  • irc.zeter.net
  • irc.xstatic-irc.com
  • irc.fuckin-elite.org
  • irc.xtreme-chat.net
• syn.dll（1,045バイト）：IRC設定スクリプト。上記のエンジン/定義ファイルで検出。SYNフラッド攻撃関連ファイル
• SysConf32.exe（3,216バイト）：トロイの木馬型ダウンローダ（Downloader-AK）。総称による検出（上記参照）
• temp.scr（13,395バイト）：IRCのユーザ名リスト
• v32driver.bat（12,256バイト）：バッチスクリプト。IRC/Flood.bqとして検出
• w32C.dll （11,264バイト）：mIRCユーティリティDLL
• W32F7s.dll（42バイト）：設定ファイル
• W32Gx.dll（67バイト）：IRC設定スクリプト。上記のエンジン/定義ファイルで検出
• W32xGPL.exe（1,024バイト）：FSGで圧縮されたPEファイル。mIRCクライアントを起動。以下のレジストリキーでシステムの起動をフック
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
  • urrentVersion\Run
    "Micro0soft Updater" = %SysDir%\W32xGPL.EXE
• wget.dll（3,152バイト）：IRC設定スクリプト。IRC/Flood.bcとして検出
• wi354.dat（26バイト）：IRC設定スクリプト。上記のエンジン/定義ファイルで検出
• win32.dat（397バイト）：IRC設定スクリプト。上記のエンジン/定義ファイルで検出
• winconf.dll（68,177バイト）：IRC設定スクリプト。上記のエンジン/定義ファイルで検出
• WS_FTP.LOG（99バイト）：FTPのアプリケーションログファイル
• y32pL.dll（3,990バイト）：IRC設定スクリプト。上記のエンジン/定義ファイルで検出

・W32/Nexiv.wormが実行されると、IRCサーバにアクセスして特定のチャネルに参加し、ハッカーからの以下のようなコマンドを待ちます。

• ターゲットマシンに対するSYNフラッド攻撃の実行
• システム情報やネットワーク情報の取得
• 特定のポート（Sub7とOptixKiller関連）が開いていないか確認
• ワームの削除
• Windows Registry（例：Windows、Photoshop）からシリアルキーを取得
• RPCの脆弱性を悪用するリモートマシンをスキャン（dcom.exeファイルを使用）

・少なくとも1つのIRCスクリプトには、以下のテキストが含まれています。

HellFire 1.5a by ^htv^ & Crash