ウイルス情報

ウイルス名 危険度

W32/Nofear.b@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4273
対応定義ファイル
(現在必要とされるバージョン)
4276 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Fearso.b (AVP)
情報掲載日 03/06/23
発見日(米国日付) 03/06/21
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Nofear.b@MMは、これまでに発見された別の亜種、W32/Nofear.a@MMによく似ています。

・W32/Nofear.b@MMの特徴は、以下のとおりです。

  • ターゲットシステムから抽出したアドレスへ自身を電子メールで送信する。
  • 自身を何度もコピーして、ピアツーピアネットワークで自身を共有する。
  • 他の実行ファイルに寄生して感染する(実行ファイルの先頭に自身を追加する)。
  • さまざまなウイルス対策/セキュリティソフトウェア関連プロセスを終了する。
  • DLLファイルを落とし込み、EXPLORER.EXEの処理スペースに挿入する(パーソナルファイアウォールを回避するように支援する)。
  • ターゲットマシンのポート555を開く。

・W32/Nofear.a@MMと同様に、W32/Nofear.b@MMはDLLコンポーネント(KERNEL.DLLファイル)を落としみ、EXPLORER.EXEファイルのメモリスペースに挿入します。修復には、4.2.40以降のスキャンエンジンを使用してください。

インストール

・W32/Nofear.b@MMが実行されると、以下のような偽のエラーメッセージが表示されます(メッセージは何種類もあります)。

・Windowsディレクトリに、以下の3つのファイルを落とし込みます。

  • %WinDir%\kernel.dll:落とし込まれたDLLコンポーネント。59,904バイト
  • %WinDir%\.exe :ワームのコピー。約43キロバイト
  • %WinDir%\svchost.exe:ワームのコピー。約43キロバイト

・以下のレジストリフックを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "<Random Keyname>" = %WinDir%\<Random Filename>.exe

・<Random Keyname>は、ウイルス内の文字列です。多くの場合、発病ルーチンの最後に予定されるプロセス名です(例:PCSCAN、WIMMUN32)。

・以下のレジストリキーも追加して、情報を保存します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\<Random Keyname> "0"
  • HKEY_LOCAL_MACHINE\SOFTWARE\<Random Keyname> "email_num"
  • HKEY_LOCAL_MACHINE\SOFTWARE\<Random Keyname> "Sent"

・この場合も、<Random Keyname>はウイルス内の文字列で、多くの場合は発病ルーチンの最後に予定されるプロセス名です。上記のシステム起動フックと同じ文字列である必要はないので、別の文字列を使用します。

電子メールを介した繁殖

・電子メールの宛先アドレスは、ターゲットマシンにあるWindowsのアドレス帳(WAB)、Eudoraのアドレス帳、MSNコンタクトから抽出します。

・電子メールの作成については、現在分析中です。分析終了後、情報を更新します。

ピアツーピアを介した繁殖

・W32/Nofear.b@MMは、以下のディレクトリに自身のコピーを複数作成します。

  • C:\MY DOWNLOADS(Shareazaピアツーピアネットワークで共有するための設定)
  • C:\WINDOWS\DRIVERS(KaZaaピアツーピアネットワークで共有するための設定)

・W32/Nofear.b@MMのコピーは、以下のようなユーザの注意を引くファイル名を使用します。ファイル名は、W32/Nofear.a@MMと同様の方法で作成されます。

  • AIM Account Stealer Key Generator.exe
  • Age Of Empires 2 Crack.exe
  • Age Of Empires 2 Full Downloader.exe
  • AikaQuest3Hentai Key Generator.exe
  • Austerlitz Napoleons Greatest Victory Key Generator.exe
  • BORLAND Delphi 7 Key Generator.exe
  • Black And White Key Generator.exe
  • CKY3 - Bam Margera World Industries Alien Workshop Crack.exe
  • CKY3 - Bam Margera World Industries Alien Workshop Full Downloader.exe
  • CKY3 - Bam Margera World Industries Alien Workshop ISO - Full Downloader.exe
  • CKY3 - Bam Margera World Industries Alien Workshop Key Generator.exe
  • Dweebs 2 Crack.exe
  • Dweebs 2 ISO - Full Downloader.exe
  • Dweebs 2 Patch.exe
  • Elder Scrolls III Morrowind THX Brrbrr Patch.exe
  • Freedom Force ISO - Full Downloader.exe
  • GTA 3 ISO - Full Downloader.exe
  • Grand Prix 4 ISO - Full Downloader.exe
  • Hacking Tool Collection Full Downloader.exe
  • Hacking Tool Collection Patch.exe
  • Half-life ONLINE Full Downloader.exe
  • Hard Truck 18 Wheels of Steel Crack.exe
  • Hard Truck 18 Wheels of Steel ISO - Full Downloader.exe
  • Hitman 2 Silent Assassin Key Generator.exe
  • Industry Giant 2 Full Downloader.exe
  • International Cricket Captain 2003 Crack.exe
  • Internet and Computer Speed Booster Crack.exe
  • KaZaA Media Desktop v2.5 UNOFFICIAL Key Generator.exe
  • KaZaA Spyware Remover ISO - Full Downloader.exe
  • KaZaA Spyware Remover Patch.exe
  • MSN Password Hacker and Stealer Patch.exe
  • Macromedia Dreamweaver MX Key Generator.exe
  • Macromedia ISO - Full Downloader.exe
  • Mafia ISO - Full Downloader.exe
  • Microsoft Office XP (English) Crack.exe
  • Microsoft Office XP (English) Key Generator.exe
  • MoviezChannelsInstaler Patch.exe
  • Neverwinter Nights ISO - Full Downloader.exe
  • Norton AntiVirus 2002 ISO - Full Downloader.exe
  • Quake 4 BETA Crack.exe
  • Soldier Of Fortune 2 Full Downloader.exe
  • Strike Fighter Project 1 Crack.exe
  • Unreal Tournament 3 Full Downloader.exe
  • Valhalla Chronicles Full Downloader.exe
  • Windows XP ISO - Full Downloader.exe
  • Winzip 8.0 Full Downloader.exe
  • Xbox.info Patch.exe
  • Zidane-ScreenInstaler Full Downloader.exe
  • Zidane-ScreenInstaler Patch.exe
  • Crack.exe

・ユーザーの注意を引くようなファイル名のウイルスのコピーをKaZaaとShareazaピアツーピアネットワークで共有するために、以下のようにレジストリキーを改変します。

  • HKEY_LOCAL_MACHINE\Software\Kazaa\LocalContent
    "Dir2" = 012345:C:\WINDOWS\DRIVERS

寄生による感染

・W32/Nofear.b@MMは、ターゲットマシンにある実行ファイルの先頭に自身を追加します。ウイルス自身のサイズがさまざまなので(ウイルスの末尾にゴミデータがあります)、感染したファイルのサイズの増加分もさまざまです(約43キロバイト増加すると考えられます)。寄生によって感染したファイルは、上記以降のエンジンおよび定義ファイルでウイルスを駆除できます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとレジストリキーが存在します。

・予期せず、ターゲットシステムのポート555が開いています。

・寄生により感染した実行ファイルのサイズが、約43キロバイト増加します。

TOPへ戻る

感染方法

・W32/Nofear.b@MMは、電子メール、他の実行ファイルへの寄生、ピアツーピアネットワークを介して感染します。 ・DLLコンポーネント(KERNEL.DLLファイル)をWindows Explorerの処理スペースに落とし込みます。修復するためには、4.2.40以降のスキャンエンジンでこのDLLファイルを駆除する必要があります。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

バージョンの古い定義ファイルではW32/Nofear.b@MMが作ったすべてのレジストリキーを削除することは出来ません。

TOPへ戻る