Updaterワームは、ランダムな題名のメールを作成して蔓延 | ScanNetSecurity
2024.03.29(金)

Updaterワームは、ランダムな題名のメールを作成して蔓延

概要:
 大量メール送付型の Updaterワームは、Microsoft Outlookのアドレス帳に登録されている全アドレスに感染メールを送りつける。送信されるメールの題名は、下記4つの部分に記載されるテキスト1種類ずつから構成される。メールの添付ファイルは 12KBの大きさで届

国際 海外情報
概要:
 大量メール送付型の Updaterワームは、Microsoft Outlookのアドレス帳に登録されている全アドレスに感染メールを送りつける。送信されるメールの題名は、下記4つの部分に記載されるテキスト1種類ずつから構成される。メールの添付ファイルは 12KBの大きさで届く。

<Subject>
第1部:Have you、You Should、Just、Why Not you、How to、Re:、Fwd :、またはスペース1文字
第2部:Check、Check out、Watch out、Open、Look at
第3部:this、my、For this、The
第4部:Picture、Programor Patch、Nude pic、Report、Documment、Quotation、Transaction 、Bank Account 、WTC Tragedy、Osama Vs Bush、Account、Private Pic

よって、メールのSubjectの例として下記がある:

How to Check out this Nude pic
Have you Look at this WTC Tragedy

<本文>
Hi:
This is the file you ask for, Please save it to
disk and open this file, it's very important.

<添付ファイル>
Files.exe、install.exe、Letter.Doc.exe、Picture.exe、Picture.jpg.exe 、Quotation.Doc.exe 、Readme.exe、Setup.exe

 添付ファイルを実行すると、Updaterワームはローカルドライブの Windowsディレクトリに自身のコピーを、UPDATE.exeというファイル名で作成する。また、他にも次のファイル名で、同じく Windowsディレクトリに自身のコピーを作成するケースがある:Setup.exe, install.exe, Readme.exe, Files.exe, Picture.exe, Quotation.Doc.exe, Letter.Doc.exe, Picture.jpg.exe

 また、iwing.reg というファイルによって、下記キーを Windowsレジストリに作成し、コンピューター起動時に Updaterが実行されるようにする。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun Update = C:WINDOWSUpdate.exe

 その後、下記の偽エラーメッセージが、OKボタンを伴ってスクリーンに表示される:

File Open Error
Cannot Open files : It does not appear to be a valid archive
If you Downloaded this file , try downloading the file again.

 また、同ワームによって Update.vbsというスクリプトファイル(あるアンチウィルス会社では、当該ファイルを別のワームと定義している)がスタートアップフォルダに作成され、Windows起動時に実行される。このファイルが実行されると、ワームはファイル内の全ての .exe、.doc、.txtファイルを探し、各ファイルのコピーを作成する。コピーされたファイルには、元々のファイル名に .vbsの拡張子が追加される。例えば、MEMO.docのコピーは MEMO.doc.vbsという名前になる。この .vbsファイルが、ワームを含むファイルである。その後、Cドライブは "IMELDA"という名前に変えられる。Update.vbsは、下記テキストを含むが、これは表示されることはない:

I-WORM.IMELDA.B
(C)2001, by Iwing
Virusindo - Indonesian Virus Network
http://indovirus.8m.com , IRC Dalnet #indovirus

 また、ワームは毎月12日に下記メッセージを表示する:

I-WORM.IMELDA.B
Hi there.., you are infected by some of
IWING creations.., have a nice day

別名:
I-Worm.Updater, Imelda, IWING, IWING Creations, I-Worm.Updater.A, I-WORM.IMELDA.B, Updater, Updater Worm, WVBS/Updatr.A,Win32.Updatr.A@mm, 32/Updatr.A@mm.

情報ソース:
Kaspersky Labs International Dec. 06, 2001
http://www.kaspersky.com/news.asp?tnews=1&nview=1&id=265&page=
Kaspersky Labs International Dec. 06, 2001
http://www.avp.ch/avpve/worms/email/updater.stm
Viruslist.com Dec. 06, 2001
http://www.viruslist.com/eng/viruslist.asp?id=4323&key=000010001300015
Norman ASA Dec. 06, 2001
http://www.norman.com/virus_info/w32_updatr_a_mm.shtml
Norman ASA Dec. 06, 2001
http://www.norman.com/virus_info/vbs_updatr_a.shtml
Network Associates Inc./McAfee.com Dec. 06, 2001
http://vil.nai.com/vil/virusSummary.asp?virus_k=99278
Softwin Dec. 06, 2001
http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=33
Sophos Plc. Dec. 06, 2001
http://www.sophos.com/virusinfo/analyses/w32updatra.html

分析:(iDEFENSE米国)
 最近 Goner.Aが大量発生した影響で、Updaterが広まる可能性も高まっている。Goner.Aは、感染先コンピューターのアンチウィルスファイルやファイアウォールアプリケーションを削除したため、それらファイルがまだ復元・再インストールされていない場合、コンピューターは Updaterなどの脅威に対しより脆弱になっている(2001年12月6日 ID#106436)。

検知方法:
 次の現象が見られる場合、コンピューターは Goner.Aに感染されている。
1.Windowsファルダ、または C:iwing.reg に下記ファイルが存在する場合:Update.exe, Setup.exe, install.exe, Readme.exe, Files.exe, Picture.exe, Quotation.Doc.exe, Letter.Doc.exe, Picture.jpg.exe
2.Cドライブの名称が "IMELDA"に変更されている。
3..vbs 拡張子が追加されたファイルが存在する。

リカバリー方法:
 感染されているメールを削除する。また、Windowsフォルダから Update.exe, Setup.exe, install.exe, Readme.exe, Files.exe, Picture.exe,Quotation.Doc.exe, Letter.Doc.exe 及びPicture.jpg.exeを削除する。また、関連する .vbsファイルも削除する。更には、ワーム及び c:iwing.regによってインストールされた下記レジストリキーを削除する:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Update = C:WINDOWSUpdate.exe

 最後に、Cドライブの名前を変える。

ベンダー情報:
 本ワームがインターネットで広まり始めるにつれ、各アンチウィルスメーカーから更新定義ファイルがリリースされるであろう。現在 Kaspersky Labs International社は、Updaterワームを検知する更新定義ファイルをリリースしている。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【21:11 GMT、12、06、2001】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×