・W32/Noala.b@MMは、大量メール送信型ワームです。複数のソースから送信先のアドレスを収集したり、マップ済みネットワークドライブやアクセス可能なWindows共有で繁殖します。また、既存のHTML文書に繁殖コードを挿入して、Internet Information Server(IIS)を介して繁殖します。このワームは、スペイン語を話す作成者が作成しており、スペイン語で書かれた電子メールの添付ファイルで届きます。この電子メールは、以下の送信者、件名、添付ファイルを組み合わせたものです。
送信者:
- Panda Antivirus (OXYGEN@pandasoftware.es)
- Ministerio de Ciencia y Tecnolog?a (info@mcyt.es)
件名:
- 2 el fichero que me pediste
- a las buenas
- Acelerador de descargas ultra peque?o!!
- FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE
- parece en internet
- FW:CAMPA?A de informaci?n sobre la LSSICE
- Fw:Te reenv?o esta presentaci?n que me ha llegado, ya me contar?s
- importante ACTUALIZACI?N PARA WINDOWS
- Informaci?n sobre la LSSICE
- Informaci?n sobre la LSSICE y sus consecuencias
- Ministerio de Ciencia y Tecnolog?a: NUEVO VIRUS
- Nuestras libertades en internet en peligro
- Nueva utilidad para protegerte de hop.b
- Nuevas formas de control
- NUEVO VIRUS muy PELIGROSO : Resumen de la ley de internet
- palabrerias
添付ファイル:
- downloadme.exe
- FixWin32.0er45-hop.b.exe
- informacion.exe
- ley lssi.pdf.exe
- ley.txt.exe
- resumen.txt.exe
- texto.txt.exe
- www.mcyt.es.exe
- www.putalssi.es.exe
- xscreensaver.scr
・この電子メールメッセージは、以前から存在する、不適切なMIMEヘッダーが原因でパッチを適用されていないシステムで電子メールの添付ファイルを自動的に実行する(MS01-020)という脆弱性を悪用して作成されています。電子メールが実行されると、ウインドウに以下のテキストを表示します。
-------------------------------------------------
NO A LA LSSI
Esta es una llamada de socorro desesperada, porque el 12 de octubre de 2002... [omitted]
?NO A LA LSSI!
-------------------------------------------------
・W32/Noala.b@MMは、Windowsディレクトリにwucrtupd.exeというファイル名で自身をコピーします。また、以下のレジストリ実行キーを作成して、システムの起動時に自身を読み込みます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "CriticalUpdate" = C:\WINDOWS\wucrtupd.exe
・WWW.GOOGLE.COMで行った多数の検索をクエリーし、その結果を解析して、電子メールアドレスを収集します。また、MSN Messengerのコンタクトリストからもアドレスを収集します。
・W32/Noala.b@MMは、リモートアクセス可能なシステムの以下のフォルダに自身をコピーします。
- \Winnt\Profiles\All users\Start menu\Programs\Startup
- \Winnt\Profiles\Administrator\Start menu\Programs\Startup
- \Winnt\Profiles\Default User\Start menu\Programs\Startup
- \Winnt\Profiles\Administrador\Start menu\Programs\Startup
- \Winnt\Profiles\Administrador\Menu Inicio\Programas\Inicio
・以下のファイル名は、W32/Noala.b@MMと関係があります。
- BASTA_YA_de_vulnerar_nuestros_derechos.txt.exe
- downloadit.exe
- fotos.del.ultimo.viaje.html.exe
- FUERA_la_LSSI.es_INNECESARIA.html.exe
- ley.pdf.exe
- ley_de_internet_y_el_comercio_electronico.txt.exe
- ley_lssi.pdf.exe
- NO_a_la_CENSURA_informativa.txt.exe
- NO_A_LA_LSSICE_otra_internet_es_posible.txt.exe
- NO_a_la_MANIPULACION_informativa.html.exe
- NO_al_control_informativo.html.exe
- no_queremos_vivir_asi.html.exe
- NO_queremos_vuestra_ley_DISCRIMINATORIA.doc.exe
- NO_queremos_vuestra_ley_INCONSTITUCIONAL.html.exe
- nuevo_virus_en_internet-LEEME.txt.exe
- por_una_sociedad_mas_justa.html.exe
- presentacion.exe
- que_no_jueguen_con_tus_libertades.txt.exe
- README.txt.exe
- salvador_de_pantallas.scr
- tarifa_plana_DE_VERDAD_ya.html.exe
- texto_integro_de_la_lssice.txt.exe
- vuelve_la_INQUISICION.html.exe
- www.lssi.es.exe
- www.mcyt.com.exe
- XXX.jpg.exe
・以下のファイルを改変してWebページを閲覧すると、W32/Noala.b@MMを読み込むためのIFRAMEを組み込みます。
- c:\inetpub\wwwroot\index.htm
- c:\inetpub\wwwroot\default.htm
- d:\inetpub\wwwroot\index.htm
- d:\inetpub\wwwroot\default.htm
- e:\inetpub\wwwroot\index.htm
- e:\inetpub\wwwroot\default.htm
