【詳細情報】Autoexec.batの削除を試みるCeleronワーム
◆概要:
Celeronは、ピアツーピア(P2P)ファイル共有ネットワークを介して拡がる新型のワームで、Microsoft Windowsオペレーティングシステム搭載コンピューター上のautoexec.batファイルの削除を試みる。 Celeronのサイズは2,037バイトで、一般的にKaZaA P2Pファイ
国際
海外情報
Celeronは、ピアツーピア(P2P)ファイル共有ネットワークを介して拡がる新型のワームで、Microsoft Windowsオペレーティングシステム搭載コンピューター上のautoexec.batファイルの削除を試みる。 Celeronのサイズは2,037バイトで、一般的にKaZaA P2Pファイル共有ネットワーク上で拡散する。
Celeronを実行すると、このワームが偽のエラーメッセージの表示を試みる。
Error 2003
Kenrell32.dll not found
[ OK ]
さらにCeleronは、WindowsおよびWindowsシステムディレクトリーとKaZaA共有ディレクトリーで、複数の自己コピーの作成を試みる。このワームは、以下のハードコードされたディレクトリーに自己コピーを保存する(当該ディレクトリーが存在しない場合は、保存に失敗する)。
・C:Program FilesKazaaMy Shared FolderAnal.jpg.vbs
・C:Program FilesKazaaMy Shared FolderBritney.jpg.vbs
・C:Program FilesKazaaMy Shared FolderCristina.jpg.vbs
・C:Program FilesKazaaMy Shared FolderLesbianas.jpg.vbs
・C:Program FilesKazaaMy Shared FolderSexo.jpg.vbs
・C:Program FilesKazaaMy Shared FolderVideo porno.jpg.vbs
・C:WindowsSystem32Ken32.vbs
・C:WindowsSPrueba.vbs
・C:WindowsSSystemScrip.txt.vbs
Celeronは、Windowsレジストリを以下のように変更して、Windows起動時に自己コピーを実行する。
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Run=C:WINDOWSsystem32Ken32.vbs
Windll=C:WINDOWSsystemScrip.txt.vbs
さらにこのワームは、Windowsデスクトップ上にCELERON_VIVE.txtファイルを作成する。このファイルには、以下のテキストが含まれている。
Celeron. DOLOMEDES 1.0 YO SOY UNA FORMA DE VIDA
Celeronは、autoexec.batファイルの削除を試みる。さらに、毎月24日には、リモートウェブサイトからFotos.htmlというファイルをダウンロードして実行する。
◆別名:
VBS.Celeron.Worm、Celeron、DOLOMEDES 1.0、DOLOMEDES
◆情報ソース:
・Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/vbs.celeron.worm.html ),
Dec. 23, 2002
◆キーワード:
Trojan: Nuker Trojan: Downloader
◆分析:
(iDEFENSE 米国) Celeronは、ハードコードされたアドレスを備えているが、その一部には明白なエラーが含まれている。この単純なワームの作者は、悪意のあるプログラムの作成方法を学習中であると思われる。
◆検知方法:
このワームが作成する多数のファイルとWindowsレジストリキーを探す。また、前述の偽のエラーメッセージに注意する。
◆リカバリー方法:
Celeronに関連する全てのファイルとWindowsのレジストリキーの変更を削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。このワームが削除する可能性のある、autoexec.batファイルを修復する。
◆暫定処置:
全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。
◆ベンダー情報:
この新しい悪意のあるプログラムに対応可能なアップデートシグニチャファイルは、近日中に各アンチウイルスベンダーから発表される予定である。また、アンチウイルスプログラムによっては、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【06:07 GMT、12、30、2002】
《ScanNetSecurity》