Updaterワームは、ランダムな題名のメールを作成して蔓延 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.21(日)

Updaterワームは、ランダムな題名のメールを作成して蔓延

概要:  大量メール送付型の Updaterワームは、Microsoft Outlookのアドレス帳に登録されている全アドレスに感染メールを送りつける。送信されるメールの題名は、下記4つの部分に記載されるテキスト1種類ずつから構成される。メールの添付ファイルは 12KBの大きさで届

国際 海外情報
概要:
 大量メール送付型の Updaterワームは、Microsoft Outlookのアドレス帳に登録されている全アドレスに感染メールを送りつける。送信されるメールの題名は、下記4つの部分に記載されるテキスト1種類ずつから構成される。メールの添付ファイルは 12KBの大きさで届く。

<Subject>
第1部:Have you、You Should、Just、Why Not you、How to、Re:、Fwd :、またはスペース1文字
第2部:Check、Check out、Watch out、Open、Look at
第3部:this、my、For this、The
第4部:Picture、Programor Patch、Nude pic、Report、Documment、Quotation、Transaction 、Bank Account 、WTC Tragedy、Osama Vs Bush、Account、Private Pic

よって、メールのSubjectの例として下記がある:

How to Check out this Nude pic
Have you Look at this WTC Tragedy

<本文>
Hi:
This is the file you ask for, Please save it to
disk and open this file, it's very important.

<添付ファイル>
Files.exe、install.exe、Letter.Doc.exe、Picture.exe、Picture.jpg.exe 、Quotation.Doc.exe 、Readme.exe、Setup.exe

 添付ファイルを実行すると、Updaterワームはローカルドライブの Windowsディレクトリに自身のコピーを、UPDATE.exeというファイル名で作成する。また、他にも次のファイル名で、同じく Windowsディレクトリに自身のコピーを作成するケースがある:Setup.exe, install.exe, Readme.exe, Files.exe, Picture.exe, Quotation.Doc.exe, Letter.Doc.exe, Picture.jpg.exe

 また、iwing.reg というファイルによって、下記キーを Windowsレジストリに作成し、コンピューター起動時に Updaterが実行されるようにする。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun Update = C:WINDOWSUpdate.exe

 その後、下記の偽エラーメッセージが、OKボタンを伴ってスクリーンに表示される:

File Open Error
Cannot Open files : It does not appear to be a valid archive
If you Downloaded this file , try downloading the file again.

 また、同ワームによって Update.vbsというスクリプトファイル(あるアンチウィルス会社では、当該ファイルを別のワームと定義している)がスタートアップフォルダに作成され、Windows起動時に実行される。このファイルが実行されると、ワームはファイル内の全ての .exe、.doc、.txtファイルを探し、各ファイルのコピーを作成する。コピーされたファイルには、元々のファイル名に .vbsの拡張子が追加される。例えば、MEMO.docのコピーは MEMO.doc.vbsという名前になる。この .vbsファイルが、ワームを含むファイルである。その後、Cドライブは "IMELDA"という名前に変えられる。Update.vbsは、下記テキストを含むが、これは表示されることはない:

I-WORM.IMELDA.B
(C)2001, by Iwing
Virusindo - Indonesian Virus Network
http://indovirus.8m.com , IRC Dalnet #indovirus

 また、ワームは毎月12日に下記メッセージを表示する:

I-WORM.IMELDA.B
Hi there.., you are infected by some of
IWING creations.., have a nice day

別名:
I-Worm.Updater, Imelda, IWING, IWING Creations, I-Worm.Updater.A, I-WORM.IMELDA.B, Updater, Updater Worm, WVBS/Updatr.A,Win32.Updatr.A@mm, 32/Updatr.A@mm.

情報ソース:
Kaspersky Labs International Dec. 06, 2001
http://www.kaspersky.com/news.asp?tnews=1&nview=1&id=265&page=
Kaspersky Labs International Dec. 06, 2001
http://www.avp.ch/avpve/worms/email/updater.stm
Viruslist.com Dec. 06, 2001
http://www.viruslist.com/eng/viruslist.asp?id=4323&key=000010001300015
Norman ASA Dec. 06, 2001
http://www.norman.com/virus_info/w32_updatr_a_mm.shtml
Norman ASA Dec. 06, 2001
http://www.norman.com/virus_info/vbs_updatr_a.shtml
Network Associates Inc./McAfee.com Dec. 06, 2001
http://vil.nai.com/vil/virusSummary.asp?virus_k=99278
Softwin Dec. 06, 2001
http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=33
Sophos Plc. Dec. 06, 2001
http://www.sophos.com/virusinfo/analyses/w32updatra.html

分析:(iDEFENSE米国)
 最近 Goner.Aが大量発生した影響で、Updaterが広まる可能性も高まっている。Goner.Aは、感染先コンピューターのアンチウィルスファイルやファイアウォールアプリケーションを削除したため、それらファイルがまだ復元・再インストールされていない場合、コンピューターは Updaterなどの脅威に対しより脆弱になっている(2001年12月6日 ID#106436)。

検知方法:
 次の現象が見られる場合、コンピューターは Goner.Aに感染されている。
1.Windowsファルダ、または C:iwing.reg に下記ファイルが存在する場合:Update.exe, Setup.exe, install.exe, Readme.exe, Files.exe, Picture.exe, Quotation.Doc.exe, Letter.Doc.exe, Picture.jpg.exe
2.Cドライブの名称が "IMELDA"に変更されている。
3..vbs 拡張子が追加されたファイルが存在する。

リカバリー方法:
 感染されているメールを削除する。また、Windowsフォルダから Update.exe, Setup.exe, install.exe, Readme.exe, Files.exe, Picture.exe,Quotation.Doc.exe, Letter.Doc.exe 及びPicture.jpg.exeを削除する。また、関連する .vbsファイルも削除する。更には、ワーム及び c:iwing.regによってインストールされた下記レジストリキーを削除する:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Update = C:WINDOWSUpdate.exe

 最後に、Cドライブの名前を変える。

ベンダー情報:
 本ワームがインターネットで広まり始めるにつれ、各アンチウィルスメーカーから更新定義ファイルがリリースされるであろう。現在 Kaspersky Labs International社は、Updaterワームを検知する更新定義ファイルをリリースしている。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【21:11 GMT、12、06、2001】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×