W32/Cone.f@MM対策,

ウイルス情報ウイルス名リスク度W32/Cone.f@MM企業ユーザ: 低[要用心]
個人ユーザ: 低[要用心]類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)4342対応定義ファイル
(現在不可欠とされるパブジョン)4342 04/03/22

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

W32/Cone.f@MMは、メディアの注目を集めたので、リスク度を“低〔要用心〕”にしました。

この情報掲載の時点では、AVERTは一般からこのウイルスの見本を浴び奪っていません。

W32/Cone.f@MMは大量メール発信型ワームで、Webサイトを一番効にしようと試みます。

電坊主メールを介した繁殖

W32/Cone.f@MMは、base64でエンコードされた添付ファイルおよび以下の情報を含むメールで自身を発信します。

差出人:偽造された名前で、以下の文字列を含みます。

antivirus

management

admininstration

virus-detection

AV

support

staff

件名:

your help file attached

W32.Mydoom.H in your mail

Your computer is probably infected by W32.Mydoom.H

Norton Antivirus detected W32.Mydoom.H in your mail

Large amount of W32.Mydoom.H outgoing from your email

Virus detected in your mail

Your computer is infected by W32.Mydoom.H

Your computer is probably infected

Your message was infected by Mydoom

I found a virus in your message

I recieved a message from you containing Mydoom

Mydoom.H in attachment of your message

本文:

your help file attached

Hi, The attachment is a virus. I write it to say: we don t want Islamic Republic in IRAN! I m realy realy sorry, I m damaging the computers that I don t want to damage!!!! I choose to help a nation to be free with cost of some computer infections!!! Do you choose this if you must choose one? all of the other ways closed, no one listen to us!!!! please support me, open the virus and let it spread, it does not have any damage, just your internet connection may become some slow! for more info search “W32.Cone.E”.

Dear users of %domain% ,

Our antivirus software has detected a large amount of viruses outgoing from your email account (%email address% ), you may use our removal instruction to clean up your computer software.

Dear users of %domain% ,

Norton Antivirus has detected about %random number% e-mail(s) infected by W32.Mydoom.H outgoing from your mail account(%email address% ). W32.Mydoom.H is a category 4 virus and Norton Antivirus 2004 is updated automatically for removal instructions of cat 4 and 5 viruses, and then send them for infected computers to prevent more infections. your computer is infected by mydoom.H, because i recieved more than 20 messages containing mydoom.H from you i attached help file of removal instructions of this virus, please cleanup your computer, before connecting to internet!

hey, i m tired of deleting emails infected by Mydoom.H from you, i attached the symantec removal instructions help file for Mydoom.H please cleanup your computer, or do not connect to internet.

Cleanup your computer, i have recieved more than 20 message infected by Mydoom.H from you, i attached the symantec removal instructions help file for W32.Mydoom.H

hi, i have recieved an email from you infected by W32.Mydoom.H, the attached file is a help file (.chm) containing removal instructions of Mydoom.H, i have downloaded it from www.symantec.com. to check to see if your computer has been infected by Mydoom.H refer to “Check for presence of W32.Mydoom.H” in the help file.

best wishes,

—–オリジナルのメッセージ—–

From:

To:

Sent: Sunday, March 14, 2004 11:53 AM

> Details are in the attached document.

>

—– オリジナルのメッセージ —–

From:

To:

Sent: Sunday, March 14, 2004 11:53 AM

> Details are in the attached document.

>

The attached file is a help file containing the removal instruction of W32.Mydoom.H. (This is an automatic virus detection mail created by Symantec Norton Antivirus 2004 for more info about Norton Antivirus 2004 visit www.symantec.com) Norton Antivirus 2004 Enterprise Edition

添付ファイル:

pchealth.exe

%random name% .chm

KaZaaを介した繁殖

W32/Cone.f@MMは、以下のレジストリキーからKaZaaのダウンロードディレクトリのロケーションを取得します。

HKEY_LOCAL_MACHINE\Software\Kazaa\LocalContent “DownloadDir”

以下のファイル名を使用して、/Receivedフォルダに自身をコピーします。

Hacking Exposed Network Security Secrets-chapt%number% .chm

401 guitar tabs.chm

How_to_crack_Win_XP_activation.chm

Credit card numbers.chm

adult check passwords.chm

(ebook chm) Teach Yourself C++ In 14 Days.chm

eBook-OReilly-Learning the UNIX Operating System.chm

Hacker s Guide.chm

以下の症状が見られる時、このウイルスに感染している割合があります。

W32/Cone.f@MMが実行されると、以下のウインドウが表示されます。

W32/Cone.f@MMは、%SYSDIR%ディレクトリに以下のさまざまなDLLファイルをドロップします。DLLファイルには、0バイトのもの、ウイルス本体を含むもの、感染システムからデータを取得したものがあります。

02check.dll

02eml.dll

02seml.dll

02url.dll

02vis.dll

file.dll ファイルは%TEMP%ディレクトリにも作成される割合があります。

W32/Cone.f@MMは、以下のレジストリキーを作成して、起動時に自身を実行します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run “System Host Service”

= C:\windows\svchost.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run “System Host Service”

= C:\windows\svchost.exe

W32/Cone.f@MMは、以下のようにSTARTUPフォルダにも自身をコピーします。

c:\Documents and Settings\All Users\Start Menu\Programs\Startup\WebCheck.pif

また、以下の情報を含むThe-Power-Of-Cycl one.htmファイルをWindowsディレクトリにドロップします。

感染手立て

W32/Cone.f@MMは、Microsoft アドレス帳のユーザに、自身のSMTPエンジンを使用してメールを発信します。

以下の拡張坊主を有するファイルからアドレスを収集します。

.DBX .MBX .WAB .HTML .EML .HTM .ASP .SHTML .TXT

宛先のドメイン名の先鶏冠に以下のような文字列を追加して、受信者のメールサーバを推測します。

mx.

mx1

mail.

smtp.

gate

mail1.

relay.

ns.

以下の文字列を含むアドレスには発信しません。

avp

syma

icrosof

msn.

hotmail.

panda

sopho

borlan

inpris

example

mydomai

nodomai

ruslis

.gov

gov.

.mil

foo.

berkeley

unix

math

bsd

mit.e

gnu

fsf.

ibm.com

google

kernel

linux

fido

usenet

iana

ietf

rfc-ed

sendmail

arin.

ripe.

isi.e

isc.o

secur

acketst

pgp

tanford.e

utgers.ed

mozilla

trend

bug

@mm

.html

.edu

spam

viru

listserv

remove

fbi

f-pro

itdefender

abuse

root

info

samples

postmaster

webmaster

noone

nobody

nothing

anyone

someone

bugs

rating

site

contact

soft

no

somebody

privacy

service

help

not

submit

feste

ca

gold-certs

the.bat

abuse

discuss

name

you

owner

mailer-daemon

admin

feedback

email

me

駆逐手立て■指定のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足


,W32/Cone.f@MM対策