概要: 大量メール送付型の Updaterワームは、Microsoft Outlookのアドレス帳に登録されている全アドレスに感染メールを送りつける。送信されるメールの題名は、下記4つの部分に記載されるテキスト1種類ずつから構成される。メールの添付ファイルは 12KBの大きさで届く。<Subject>第1部:Have you、You Should、Just、Why Not you、How to、Re:、Fwd :、またはスペース1文字第2部:Check、Check out、Watch out、Open、Look at第3部:this、my、For this、The第4部:Picture、Programor Patch、Nude pic、Report、Documment、Quotation、Transaction 、Bank Account 、WTC Tragedy、Osama Vs Bush、Account、Private Picよって、メールのSubjectの例として下記がある:How to Check out this Nude picHave you Look at this WTC Tragedy<本文>Hi:This is the file you ask for, Please save it todisk and open this file, it's very important.<添付ファイル>Files.exe、install.exe、Letter.Doc.exe、Picture.exe、Picture.jpg.exe 、Quotation.Doc.exe 、Readme.exe、Setup.exe 添付ファイルを実行すると、Updaterワームはローカルドライブの Windowsディレクトリに自身のコピーを、UPDATE.exeというファイル名で作成する。また、他にも次のファイル名で、同じく Windowsディレクトリに自身のコピーを作成するケースがある:Setup.exe, install.exe, Readme.exe, Files.exe, Picture.exe, Quotation.Doc.exe, Letter.Doc.exe, Picture.jpg.exe また、iwing.reg というファイルによって、下記キーを Windowsレジストリに作成し、コンピューター起動時に Updaterが実行されるようにする。HKLMSoftwareMicrosoftWindowsCurrentVersionRun Update = C:WINDOWSUpdate.exe その後、下記の偽エラーメッセージが、OKボタンを伴ってスクリーンに表示される:File Open ErrorCannot Open files : It does not appear to be a valid archiveIf you Downloaded this file , try downloading the file again. また、同ワームによって Update.vbsというスクリプトファイル(あるアンチウィルス会社では、当該ファイルを別のワームと定義している)がスタートアップフォルダに作成され、Windows起動時に実行される。このファイルが実行されると、ワームはファイル内の全ての .exe、.doc、.txtファイルを探し、各ファイルのコピーを作成する。コピーされたファイルには、元々のファイル名に .vbsの拡張子が追加される。例えば、MEMO.docのコピーは MEMO.doc.vbsという名前になる。この .vbsファイルが、ワームを含むファイルである。その後、Cドライブは "IMELDA"という名前に変えられる。Update.vbsは、下記テキストを含むが、これは表示されることはない:I-WORM.IMELDA.B(C)2001, by IwingVirusindo - Indonesian Virus Networkhttp://indovirus.8m.com , IRC Dalnet #indovirus また、ワームは毎月12日に下記メッセージを表示する:I-WORM.IMELDA.B Hi there.., you are infected by some ofIWING creations.., have a nice day別名:I-Worm.Updater, Imelda, IWING, IWING Creations, I-Worm.Updater.A, I-WORM.IMELDA.B, Updater, Updater Worm, WVBS/Updatr.A,Win32.Updatr.A@mm, 32/Updatr.A@mm.情報ソース:Kaspersky Labs International Dec. 06, 2001 http://www.kaspersky.com/news.asp?tnews=1&nview=1&id=265&page=Kaspersky Labs International Dec. 06, 2001 http://www.avp.ch/avpve/worms/email/updater.stmViruslist.com Dec. 06, 2001 http://www.viruslist.com/eng/viruslist.asp?id=4323&key=000010001300015Norman ASA Dec. 06, 2001 http://www.norman.com/virus_info/w32_updatr_a_mm.shtmlNorman ASA Dec. 06, 2001 http://www.norman.com/virus_info/vbs_updatr_a.shtmlNetwork Associates Inc./McAfee.com Dec. 06, 2001 http://vil.nai.com/vil/virusSummary.asp?virus_k=99278Softwin Dec. 06, 2001 http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=33Sophos Plc. Dec. 06, 2001http://www.sophos.com/virusinfo/analyses/w32updatra.html分析:(iDEFENSE米国) 最近 Goner.Aが大量発生した影響で、Updaterが広まる可能性も高まっている。Goner.Aは、感染先コンピューターのアンチウィルスファイルやファイアウォールアプリケーションを削除したため、それらファイルがまだ復元・再インストールされていない場合、コンピューターは Updaterなどの脅威に対しより脆弱になっている(2001年12月6日 ID#106436)。検知方法: 次の現象が見られる場合、コンピューターは Goner.Aに感染されている。1.Windowsファルダ、または C:iwing.reg に下記ファイルが存在する場合:Update.exe, Setup.exe, install.exe, Readme.exe, Files.exe, Picture.exe, Quotation.Doc.exe, Letter.Doc.exe, Picture.jpg.exe2.Cドライブの名称が "IMELDA"に変更されている。3..vbs 拡張子が追加されたファイルが存在する。リカバリー方法: 感染されているメールを削除する。また、Windowsフォルダから Update.exe, Setup.exe, install.exe, Readme.exe, Files.exe, Picture.exe,Quotation.Doc.exe, Letter.Doc.exe 及びPicture.jpg.exeを削除する。また、関連する .vbsファイルも削除する。更には、ワーム及び c:iwing.regによってインストールされた下記レジストリキーを削除する:HKLMSoftwareMicrosoftWindowsCurrentVersionRun Update = C:WINDOWSUpdate.exe 最後に、Cドライブの名前を変える。ベンダー情報: 本ワームがインターネットで広まり始めるにつれ、各アンチウィルスメーカーから更新定義ファイルがリリースされるであろう。現在 Kaspersky Labs International社は、Updaterワームを検知する更新定義ファイルをリリースしている。(詳しくはScan Daily EXpress本誌をご覧下さい) http://vagabond.co.jp/vv/m-sdex.htm※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです【21:11 GMT、12、06、2001】
