ウイルス情報

ウイルス名 危険度

W32/Noala.b@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4300
対応定義ファイル
(現在必要とされるバージョン)
4376 (現在7628)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Ticton (AVP):i-worm.WinSux:W32.Lofni.Worm (Symantec):W32/Ticton-A (Sophos):Win32.Noala.B (CA):WORM_ARRET.A (Trend)
情報掲載日 03/10/31
発見日(米国日付) 03/10/22
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Noala.b@MMは、大量メール送信型ワームです。複数のソースから送信先のアドレスを収集したり、マップ済みネットワークドライブやアクセス可能なWindows共有で繁殖します。また、既存のHTML文書に繁殖コードを挿入して、Internet Information Server(IIS)を介して繁殖します。このワームは、スペイン語を話す作成者が作成しており、スペイン語で書かれた電子メールの添付ファイルで届きます。この電子メールは、以下の送信者、件名、添付ファイルを組み合わせたものです。

送信者:

  • Panda Antivirus (OXYGEN@pandasoftware.es)
  • Ministerio de Ciencia y Tecnolog?a (info@mcyt.es)

件名:

  • 2 el fichero que me pediste
  • a las buenas
  • Acelerador de descargas ultra peque?o!!
  • FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE
  • parece en internet
  • FW:CAMPA?A de informaci?n sobre la LSSICE
  • Fw:Te reenv?o esta presentaci?n que me ha llegado, ya me contar?s
  • importante ACTUALIZACI?N PARA WINDOWS
  • Informaci?n sobre la LSSICE
  • Informaci?n sobre la LSSICE y sus consecuencias
  • Ministerio de Ciencia y Tecnolog?a: NUEVO VIRUS
  • Nuestras libertades en internet en peligro
  • Nueva utilidad para protegerte de hop.b
  • Nuevas formas de control
  • NUEVO VIRUS muy PELIGROSO : Resumen de la ley de internet
  • palabrerias

添付ファイル:

  • downloadme.exe
  • FixWin32.0er45-hop.b.exe
  • informacion.exe
  • ley lssi.pdf.exe
  • ley.txt.exe
  • resumen.txt.exe
  • texto.txt.exe
  • www.mcyt.es.exe
  • www.putalssi.es.exe
  • xscreensaver.scr

・この電子メールメッセージは、以前から存在する、不適切なMIMEヘッダーが原因でパッチを適用されていないシステムで電子メールの添付ファイルを自動的に実行する(MS01-020)という脆弱性を悪用して作成されています。電子メールが実行されると、ウインドウに以下のテキストを表示します。

-------------------------------------------------
NO A LA LSSI

Esta es una llamada de socorro desesperada, porque el 12 de octubre de 2002... [omitted]

?NO A LA LSSI!
-------------------------------------------------

・W32/Noala.b@MMは、Windowsディレクトリにwucrtupd.exeというファイル名で自身をコピーします。また、以下のレジストリ実行キーを作成して、システムの起動時に自身を読み込みます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "CriticalUpdate" = C:\WINDOWS\wucrtupd.exe

・WWW.GOOGLE.COMで行った多数の検索をクエリーし、その結果を解析して、電子メールアドレスを収集します。また、MSN Messengerのコンタクトリストからもアドレスを収集します。

・W32/Noala.b@MMは、リモートアクセス可能なシステムの以下のフォルダに自身をコピーします。

  • \Winnt\Profiles\All users\Start menu\Programs\Startup
  • \Winnt\Profiles\Administrator\Start menu\Programs\Startup
  • \Winnt\Profiles\Default User\Start menu\Programs\Startup
  • \Winnt\Profiles\Administrador\Start menu\Programs\Startup
  • \Winnt\Profiles\Administrador\Menu Inicio\Programas\Inicio

・以下のファイル名は、W32/Noala.b@MMと関係があります。

  • BASTA_YA_de_vulnerar_nuestros_derechos.txt.exe
  • downloadit.exe
  • fotos.del.ultimo.viaje.html.exe
  • FUERA_la_LSSI.es_INNECESARIA.html.exe
  • ley.pdf.exe
  • ley_de_internet_y_el_comercio_electronico.txt.exe
  • ley_lssi.pdf.exe
  • NO_a_la_CENSURA_informativa.txt.exe
  • NO_A_LA_LSSICE_otra_internet_es_posible.txt.exe
  • NO_a_la_MANIPULACION_informativa.html.exe
  • NO_al_control_informativo.html.exe
  • no_queremos_vivir_asi.html.exe
  • NO_queremos_vuestra_ley_DISCRIMINATORIA.doc.exe
  • NO_queremos_vuestra_ley_INCONSTITUCIONAL.html.exe
  • nuevo_virus_en_internet-LEEME.txt.exe
  • por_una_sociedad_mas_justa.html.exe
  • presentacion.exe
  • que_no_jueguen_con_tus_libertades.txt.exe
  • README.txt.exe
  • salvador_de_pantallas.scr
  • tarifa_plana_DE_VERDAD_ya.html.exe
  • texto_integro_de_la_lssice.txt.exe
  • vuelve_la_INQUISICION.html.exe
  • www.lssi.es.exe
  • www.mcyt.com.exe
  • XXX.jpg.exe

・以下のファイルを改変してWebページを閲覧すると、W32/Noala.b@MMを読み込むためのIFRAMEを組み込みます。

  • c:\inetpub\wwwroot\index.htm
  • c:\inetpub\wwwroot\default.htm
  • d:\inetpub\wwwroot\index.htm
  • d:\inetpub\wwwroot\default.htm
  • e:\inetpub\wwwroot\index.htm
  • e:\inetpub\wwwroot\default.htm

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・WINDOWSディレクトリに以下の3種類のテキストファイルを作成します。

  • i-worm_info.txt(209バイト)
  • lssice_info.txt(7,536バイト)
  • no_a_la_LSSICE.txt(79バイト)

TOPへ戻る

感染方法

・W32/Noala.b@MMは、電子メール、アクセス可能なネットワーク共有、および感染Webページを介して繁殖します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る