製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
W32/Pkasa@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4245
対応定義ファイル
(現在必要とされるバージョン)
4245 (現在7401)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
亜種I-Worm.Ainjo.e (AVP) :Win32.HLLM.Generic.132 (Dialogue Science)
情報掲載日03/01/27
発見日(米国日付)03/01/24
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・このVisual Basicで作成されたワームは、さまざまなチャネルを介して繁殖します。

●Outlookのアドレス帳にある宛先に自身を大量にメール送信します。
●ローカルドライブおよびネットワークドライブに自身をコピーします。
●mIRCを介して(ZIPアーカイブ内で)自身を送信します。
●KaZaaのファイル共有ネットワークを介して繁殖します。
●フロッピーワームとして繁殖します。

・テスト時には、このワームはNT/2000マシンでは起動しませんでした。

・実行されると、このワームはターゲットマシンで起動中の(ウイルス対策およびセキュリティ製品に関連した)プロセスを終了しようとします。

大量メール送信による繁殖

このウイルスは、Outlookのアドレス帳にあるすべての宛先に自身の圧縮コピーを添付してメール送信します。

一度のメール送信でも、それぞれの受信者に異なるフォーマットのメッセージが送られることがあります。メッセージは以下のようにフォーマットされていることがあります。

件名:以下のような件名があります。

●Thank You !
●The E.A.S.E System Can Make You Money At Home!!
●Free Software, Download it now !!
●Confirmation Email - Required !
●Free MP3. OGG/VORBIS Hit Songs !!
●Re: Your Daily Report
●You are Losing Income
●Download DVD Movie Now !! Its Free..!
●WHY NOT CHECK IT OUT? IT'S FREE!

・添付ファイル:さまざまなファイル名のついたZIPアーカイブファイルです。以下のファイル名があります。
●BONUS.ZIP
●REPORT.ZIP
●FREEPIC.ZIP
●FREEJOIN.ZIP
●FFA.ZIP

ZIPファイル(約116,540バイト)にはワームのコピー(ファイルサイズ:127,488バイト)が含まれます。ZIPファイル内のワームのファイル名は様々で、例えば以下のような名前があります。

●SEXY.EXE
●REPORT.EXE
●FISTING.EXE
●FREEJOIN.EXE

本文:以下のような本文があります。


●Have I peaked your curiosity?
This is something that I think that anyone who is serious about marketing and being on the internet should check out.

Save it Now !

●Hello!



Need a quick $100 today?
Need a quick $500 this week?
Need to QUICKLY build a $5,000 monthly income?

Download the attachment now !

●The Mastercard Stored Value Card is good anywhere in the world that Mastercard is accepted! APPLY NOW AND GET $20 FREE!!
Download it Now And Get free Bonus!

例:

ワームによる繁殖

・このワームは、ローカルドライブおよびネットワークドライブに自身のコピーを複数作成します。このワームはローカルドライブおよびネットワークドライブを再帰し、以下の種類のファイルに代えて、自身を%Filename%.%Ext%.SCRとして上記のディレクトリにコピーします(%Filename%と%Ext%はそれぞれオリジナルのファイル名と拡張子です)。

●EXE
●SCR
●LNK
●DOC
●XLS
●JPG
●MP3
●MPG
●HTM
●HTML

・このワームは、フロッピードライブおよびネットワークドライブにも自身をコピーします。このとき、ファイル名として、例えば以下のような.JPG.EXEまたは.JPG.SCRなどの二重拡張子のついた、注目を引く名前を使用します。

●ASIAN106.JPG.EXE
●SEXYGIRLS749.JPG.EXE
●LESBIAN606.JPG.SCR

KaZaaによる繁殖

・このワームは以下のフォルダに自身のコピーを複数作成します。このフォルダはKaZaaのファイル共有ネットワークでファイルを共有する際に通常使用されるものです。

●c:\Program Files\KaZaA\My Shared Folder\

・このとき、ファイル名には以下のような注目を引く名前を使用し、ユーザが自分のマシンでワームを実行するように仕向けます。

●AMATEURE686146203Jpg.exe
●ANTIVIRAL.EXE
●ASIAN462572179Jpg.exe
●AVUPDATE.EXE
●FREE_FIREWALL.EXE
●Fetish227628495Jpg.exe
●Fisting282627155Jpg.exe
●Girls673729390Jpg.exe
●LIVEUPDATE.EXE
●Lolita16451450Jpg.exe
●MCAFEE.EXE
●NAVUPDATE.EXE
●NUDE85872349Jpg.exe
●PASSWORD.EXE
●PIC909599469Jpg.exe
●Preeteens322361381Jpg.exe
●SEXSHOW.EXE
●SEXY789731202Jpg.exe
●XPPatch.exe

mIRCによる繁殖

・このワームは、mIRCフォルダにMIRC.INIというスクリプトファイルを落とし込み、mIRCチャネルを介して繁殖しようとします。アーカイブに無料のポルノ画像が含まれていることをほのめかして、FREEPIC.ZIP(ファイルサイズ:xxバイト)という自身の圧縮コピーを送信しようとします。

・落とし込まれたMIRC.INIスクリプトファイル(2,223バイト)は、定義ファイル4149以降を使用すると、MIRC/Genericとして検出されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記の記述と一致する送信メッセージが存在します。

・上記の偽のメッセージボックスが表示されます。

・ローカルおよびネットワークドライブに(上述したような)%Filename%.%Ext%.SCRという名前のワームのコピーが複数存在します。

感染方法TOPへ戻る

・このワームがターゲットマシンで実行されると、以下の偽のエラーメッセージボックスを表示します。

・(上述した)繁殖のメカニズムに加えて、このワームは自身をローカルマシンに複数回コピーします。

●%WinDir%\KERNELW32.EXE
●%WinDir%\BLANK.SCR

・更に、C:\にも、例えば以下のようなファイル名でコピーを行います。

●c:\SEXY.EXE
●C:\FISTING.EXE

・次に、システムの起動をフックするために、以下のレジストリキーを設定します。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"Kernelw" = C:\WINDOWS\Kernelw32.exe

・ローカルのWIN.INIファイルにもフックを追加します。

load=C:\WINDOWS\Kernelw32.exe

・また、WIN.INIファイルに新規のセクションも追加します。

[WORM]
Name=I-WORM.PERKASA
Author=Iwing/Indovirus

・ワームをロードするSCRNSAVE.EXEを使用して、ワームのコピー、BLANK.SCRに対するフックが[boot]セクション内でSYSTEM.INIファイルに挿入されます。

[boot]
SCRNSAVE.EXE=C:\Windows\Blank.scr

・ワームは(デバッグスクリプトを介して)ZIP圧縮ユーティリティをC:\ZIP.COMとして落とし込みます。ZIPアーカイブを作成するためにこのユーティリティを使用する%WinDir%にバッチファイル(T.BAT)が落とし込まれます。注:C:\において、アーカイブやワームのコピーの正確なファイル名は異なることがあります。

@echo off
C:\ZIP.COM -a -eX C:\FREEPIC.ZIP C:\Sexy.exe