W32.HLLW.Mantas

1. 自分自身を %System%\Winmants.exe としてコピーします。



---

注意: %System% は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

---


2. 次の値を

"Windows Manager" = "%system%\winmants.exe"

次のレジストリキーに追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

3. 次のフォルダを探します。


• "My documents"
• c:\Program Files\grokster\my grokster
• c:\Program Files\morpheus\my shared folder
• c:\Program Files\limewire\shared
• c:\Program Files\icq\shared files
• c:\Program Files\gnucleus\downloads
• c:\Program Files\edonkey2000\incoming
• c:\Program Files\KazaaLite\My shared folders
• c:\Program Files\KazaaLite\My shared folder
• c:\Program Files\Kazaa\My shared folder
• <マップされているネットワークドライブのルート>
  
  
4. 上記ステップで発見したフォルダに、自分自身を次のファイルとしてコピーします。


• DVD Ripper.exe
• DVD2AVI.exe
• Direct DVD Copier.exe
• Visual Boy Advance .exe
• rom.exe
• gba-renamer.exe
• roms
• Goodtool.exe
• epsxe.exe
• PS2 emulator
• Emulator.exe
• Mp3finder.exe
• Nero.exe
• Nero Burning ROM.exe
• Microsoft Patch.exe
• winxp serial.exe
• serial.exe
• Visual Studio Net Serial.exe
• winxp service pack.exe
• Windows XP Service Pack Cracked.exe
• Microsoft Windows 2003 Serial.txt .exe
• Network Cable e ADSL Speed .exe
• Pop-Up Stopper .exe
• Spybot - Search & Destroy .exe
• WinMX .exe
• Registry Mechanic.exe
• SnagIt .exe
• WS_FTP LE (32-bit) .exe
• Kazaa 2.05 beta .exe
• StarCraft No CD Crack.exe
• Msn Hack.exe
• Mcafee Serial.exe
• Norton Antivirus Crack.exe
• PerAntivirus Crack.exe
• Grokster.exe
• ZoneAlarm Full Version.exe
• Download Accelerator Plus.exe
• Trillian .exe
• Ad-aware .exe
• Morpheus .exe
• ICQ Pro 2003a beta .exe
• AOL Instant Messenger (AIM).exe
• iMesh .exe
• ICQ Lite .exe
• Kazaa Media Desktop .exe
• No CD Crack.exe
• Winrar.exe
• Winzip.exe
• 1000 Games.exe
• DoomII-Install.exe
• Doom-Install.exe
• DukeNukem-Install.exe
• Wolfenstein.exe
• Legend of Zelda.exe
• Gamecube.exe
• GCN Emulator.exe
• Gamecube Emulator.exe
• XBOX Emulator.exe
• XBOX.exe
• Warcraft III NoCD Crack.exe
• rap.exe
• help.exe
• FlashFXP Crack.exe
• DivX.exe
• Christina Aguilera.scr
• Brittney Spears.scr
• password.exe
• password dumper.exe
• zsnes.exe
• Xeon XBOX Emulator.exe
• AudioCatalyst.exe
• mp3.exe
• explorer.exe
• command.com
• ftp.exe
• runhidden.exe
• secret.exe
• GTA3 nocd crack.exe
• cdcrack.exe
• Winamp3-Full.exe
• winamp.exe
• Alcohol120-Install.exe
• Nero.Burning.Rom.Install-halo.exe
• kazaalite.exe
• KazaaUpdate.exe
• FruityLoops Setup.exe
• cdkey.exe
• aimbot.exe
• maphack.exe
• diablo2.exe
• quake3.exe
• nocd crack.exe
• hotfix.exe
• lesbian.scr
• crack.exe
• patch.exe
• MSBlaster Patch.exe
• teen .scr
• install.exe
• setup.exe
• keygen.exe
• mantas.exe
  
  
5. 次の画像が入ったファイルを
　

　
様々なファイル名を使って作成します。以下は使用されるファイル名の一例です。


• 0m1a2n3t4a7s8.jpg
• sweet.jpg
• ilikeyou.jpg
• broken.jpg
• heart.jpg
• mantas.jpg
  
  
6. フォルダのスキャンを繰り返し行い、次の操作を実行します。


• すべての .jpg、.jpeg ファイルをステップ5で作成したファイルで上書き。
• すべての .exe、.com、.scr ファイルをワームの実行形式ファイルで上書き。
• すべての .txt、.doc ファイルを次の1行のテキストで上書き。
  
  
  Aww that was really sweet, Thank you. -Mantas
  
  
• すべての.htm、.htmlファイルを次の1行のテキストで上書き。
  
  
  <title>Aww that was really sweet, Thank you. -Mantas</title>
  
  
• すべての.bmp、.gif、.icoファイルを次の画像で上書き。ファイルタイプは変更されません。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
• 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
• パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
• 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。