【詳細情報】複数のメディアを介して拡散するTang

◆概要：
　新しいワームであるTangは、複数の方法で拡散するが、当該記事の掲載時点で実環境で拡散している事実は認められていない。ワームは、マクロ、ピアツーピア（P2P）、インスタントメッセージ、ファイル感染ウイルスとしてMicrosoft WindowsのOSを搭載しているコンピュータに拡散する。又、ファイルを上書きする破壊コンポーネントも含まれている。

　Tangは、Windowsアドレス帳（WAB）にある全アドレスに不正な電子メールを送信する。Tangによって送信される電子メールは一定していないが、以下に一例を示す。

Subject: Mp3 sites
Message: Hello,

Try this new software that can download practically any .mp3 file that is found on the internet. I use this program all the time and I think it's great!

Have fun!
Attachment: MP3CONNECT.EXE (21,504 to 90,112 bytes)

　不正な添付ファイルが実行されると、TangがWindows内のローカルドライブ、C:ドライブ、Windowsのシステムディレクトリに以下のファイル名を使って自身のコピーを複数格納する。

・cdinst32.exe
・dostng32.pif
・keymapp32.exe
・license.exe
・mscabdrv.exe
・msdnssrv.exe
・msnetwrk32.exe
・msostart32.exe o msregmc32.exe
・msscndsk.exe
・mstng32.exe
・mstngmgr32.ocx
・mwintype.exe
・netwc32.exe
・notice.tng
・omserv32.exe o re-inst32.scr
・unicode32.scr
・unitxt32.exe
・wincmndr.exe
・windns32.xe
・winlnkmgr.exe
・wncnet32.exe
・wnetcon32.exe

　Tangは、以下の文字列を使ってすべてのローカルドライブにある全BATファイルへの感染も試みる。

@if exist C:WINDOWSSYSTEMMSTng32.exe @win C:WINDOWSSYSTEMMSTng32.exe

　Tangは、広範囲に渡ってデータファイルを検索して削除し、削除したファイル名とEXE拡張子を使って自身のコピーを削除したファイルが存在していた場所に格納する。

　ワームは、Microsoft Wordのテンプレートファイルnormal.dotに感染し、マクロウイルスとして感染する。又、IRC及びPirchを介して拡散する。さらに、共有P2Pディレクトリに自身のコピーを格納することにより、P2Pワームとしても拡散する。Tangは、Windowsの起動時にワームが実行されるように、Mstng32 keyを使ってWindowsのレジストリを書き換える。

◆別名：
　Worm/Tang、Tang、I-Worm.Tanger、W32/Gant@MM

◆情報ソース：
・Network Associates Inc./McAfee.com ( http://vil.nai.com/vil/content/v_100067.htm ), Feb. 18, 2003
・Panda Software ( http://www.pandasoftware.com/virus_info/encyclopedia/details.aspx?idvirus=38736 ) , Feb. 18, 2003
・Central Command Inc. ( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=030218-000012 ) , Feb. 18, 2003
・iDEFENSE Intelligence Operations, Feb. 17, 2003

◆キーワード：
　Trojan: Nuker Virus: File infecting
　Virus: Macro Worm: E mail
　Worm: Online messaging Worm: Script
　Worm: Other

◆分析：
　(iDEFENSE US) Tangは、rRlfグループのメンバーであるZedによって作成された。当該記事の掲載時点に実環境では見つかっていない。このワームが実行するデータのランダム化に関する詳細は、当該記事に記載されている情報ソースで入手可能。

◆検知方法：
　電子メール及びワームによって作成される多くのファイルを探す。

◆リカバリー方法：
　この不正プログラムに関連する全ファイルとWindowsのレジストリキーを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。

◆暫定処置：
　一般的に不正プログラムが他のコンピュータに拡散する際に用いる種類のファイルをブロックするようメールサーバとワークステーションを設定する。新しいファイルはすべて慎重に取り扱い、最新アンチウイルスソフトでスキャンした後、使用する。

◆ベンダー情報：
　この不正プログラムに対応する最新のワクチン定義ファイルが、いくつかのアンチウイルスベンダーからリリースされるか、またはアンチウイルスアプリケーションによっては、不正プログラムを検知するものもあると思われる。
尚、国内のベンダー情報に関しては下記を参照。
W32/Gant@MM　亜種 I-Worm.Tanger (AVP): W32.HLLW.Tang@mm (NAV)
( http://www.nai.com/japan/virusinfo/virG.asp?v=W32/Gant@MM )

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【04:12 GMT、02、19、2003】