ウイルス情報

ウイルス名 危険度

W32/Pkasa@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4245
対応定義ファイル
(現在必要とされるバージョン)
4245 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
亜種 I-Worm.Ainjo.e (AVP) :Win32.HLLM.Generic.132 (Dialogue Science)
情報掲載日 03/01/27
発見日(米国日付) 03/01/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・このVisual Basicで作成されたワームは、さまざまなチャネルを介して繁殖します。

●Outlookのアドレス帳にある宛先に自身を大量にメール送信します。
●ローカルドライブおよびネットワークドライブに自身をコピーします。
●mIRCを介して(ZIPアーカイブ内で)自身を送信します。
●KaZaaのファイル共有ネットワークを介して繁殖します。
●フロッピーワームとして繁殖します。

・テスト時には、このワームはNT/2000マシンでは起動しませんでした。

・実行されると、このワームはターゲットマシンで起動中の(ウイルス対策およびセキュリティ製品に関連した)プロセスを終了しようとします。

大量メール送信による繁殖

このウイルスは、Outlookのアドレス帳にあるすべての宛先に自身の圧縮コピーを添付してメール送信します。

一度のメール送信でも、それぞれの受信者に異なるフォーマットのメッセージが送られることがあります。メッセージは以下のようにフォーマットされていることがあります。

件名:以下のような件名があります。

●Thank You !
●The E.A.S.E System Can Make You Money At Home!!
●Free Software, Download it now !!
●Confirmation Email - Required !
●Free MP3. OGG/VORBIS Hit Songs !!
●Re: Your Daily Report
●You are Losing Income
●Download DVD Movie Now !! Its Free..!
●WHY NOT CHECK IT OUT? IT'S FREE!

・添付ファイル:さまざまなファイル名のついたZIPアーカイブファイルです。以下のファイル名があります。
●BONUS.ZIP
●REPORT.ZIP
●FREEPIC.ZIP
●FREEJOIN.ZIP
●FFA.ZIP

ZIPファイル(約116,540バイト)にはワームのコピー(ファイルサイズ:127,488バイト)が含まれます。ZIPファイル内のワームのファイル名は様々で、例えば以下のような名前があります。

●SEXY.EXE
●REPORT.EXE
●FISTING.EXE
●FREEJOIN.EXE

本文:以下のような本文があります。


●Have I peaked your curiosity?
This is something that I think that anyone who is serious about marketing and being on the internet should check out.

Save it Now !

●Hello!



Need a quick $100 today?
Need a quick $500 this week?
Need to QUICKLY build a $5,000 monthly income?

Download the attachment now !

●The Mastercard Stored Value Card is good anywhere in the world that Mastercard is accepted! APPLY NOW AND GET $20 FREE!!
Download it Now And Get free Bonus!

例:

ワームによる繁殖

・このワームは、ローカルドライブおよびネットワークドライブに自身のコピーを複数作成します。このワームはローカルドライブおよびネットワークドライブを再帰し、以下の種類のファイルに代えて、自身を%Filename%.%Ext%.SCRとして上記のディレクトリにコピーします(%Filename%と%Ext%はそれぞれオリジナルのファイル名と拡張子です)。

●EXE
●SCR
●LNK
●DOC
●XLS
●JPG
●MP3
●MPG
●HTM
●HTML

・このワームは、フロッピードライブおよびネットワークドライブにも自身をコピーします。このとき、ファイル名として、例えば以下のような.JPG.EXEまたは.JPG.SCRなどの二重拡張子のついた、注目を引く名前を使用します。

●ASIAN106.JPG.EXE
●SEXYGIRLS749.JPG.EXE
●LESBIAN606.JPG.SCR

KaZaaによる繁殖

・このワームは以下のフォルダに自身のコピーを複数作成します。このフォルダはKaZaaのファイル共有ネットワークでファイルを共有する際に通常使用されるものです。

●c:\Program Files\KaZaA\My Shared Folder\

・このとき、ファイル名には以下のような注目を引く名前を使用し、ユーザが自分のマシンでワームを実行するように仕向けます。

●AMATEURE686146203Jpg.exe
●ANTIVIRAL.EXE
●ASIAN462572179Jpg.exe
●AVUPDATE.EXE
●FREE_FIREWALL.EXE
●Fetish227628495Jpg.exe
●Fisting282627155Jpg.exe
●Girls673729390Jpg.exe
●LIVEUPDATE.EXE
●Lolita16451450Jpg.exe
●MCAFEE.EXE
●NAVUPDATE.EXE
●NUDE85872349Jpg.exe
●PASSWORD.EXE
●PIC909599469Jpg.exe
●Preeteens322361381Jpg.exe
●SEXSHOW.EXE
●SEXY789731202Jpg.exe
●XPPatch.exe

mIRCによる繁殖

・このワームは、mIRCフォルダにMIRC.INIというスクリプトファイルを落とし込み、mIRCチャネルを介して繁殖しようとします。アーカイブに無料のポルノ画像が含まれていることをほのめかして、FREEPIC.ZIP(ファイルサイズ:xxバイト)という自身の圧縮コピーを送信しようとします。

・落とし込まれたMIRC.INIスクリプトファイル(2,223バイト)は、定義ファイル4149以降を使用すると、MIRC/Genericとして検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記の記述と一致する送信メッセージが存在します。

・上記の偽のメッセージボックスが表示されます。

・ローカルおよびネットワークドライブに(上述したような)%Filename%.%Ext%.SCRという名前のワームのコピーが複数存在します。

TOPへ戻る

感染方法

・このワームがターゲットマシンで実行されると、以下の偽のエラーメッセージボックスを表示します。

・(上述した)繁殖のメカニズムに加えて、このワームは自身をローカルマシンに複数回コピーします。

●%WinDir%\KERNELW32.EXE
●%WinDir%\BLANK.SCR

・更に、C:\にも、例えば以下のようなファイル名でコピーを行います。

●c:\SEXY.EXE
●C:\FISTING.EXE

・次に、システムの起動をフックするために、以下のレジストリキーを設定します。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"Kernelw" = C:\WINDOWS\Kernelw32.exe

・ローカルのWIN.INIファイルにもフックを追加します。

load=C:\WINDOWS\Kernelw32.exe

・また、WIN.INIファイルに新規のセクションも追加します。

[WORM]
Name=I-WORM.PERKASA
Author=Iwing/Indovirus

・ワームをロードするSCRNSAVE.EXEを使用して、ワームのコピー、BLANK.SCRに対するフックが[boot]セクション内でSYSTEM.INIファイルに挿入されます。

[boot]
SCRNSAVE.EXE=C:\Windows\Blank.scr

・ワームは(デバッグスクリプトを介して)ZIP圧縮ユーティリティをC:\ZIP.COMとして落とし込みます。ZIPアーカイブを作成するためにこのユーティリティを使用する%WinDir%にバッチファイル(T.BAT)が落とし込まれます。注:C:\において、アーカイブやワームのコピーの正確なファイル名は異なることがあります。

@echo off
C:\ZIP.COM -a -eX C:\FREEPIC.ZIP C:\Sexy.exe

TOPへ戻る