W32.Antinny.AX

1. 次のファイルとして自分自身をコピーします。
   
   %System%\Microsoft\svchost.exe
   
   

   ---

   注意: %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

   ---

   
   
2. 次のレジストリストリサブキーへ
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   
   次の値を追加します。
   
   "Windows Security Manager" = "%System%\Microsoft\svchost.exe -c -ax"
   
   これにより、 Windows が起動されるときにこれが実行されるようにします。
   
   
3. 次のレジストリストリサブキーへ
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
   
   次の値を追加します。
   
   "DisableSR" = "1"
   
   システムの復元機能を無効にします。
   
   
4. 次のクリーンなファイルを作成します。
   
   %Windir%\svdat.m1v
   
   

   ---

   注意: %Windir% は可変で Windows のインストールフォルダを参照します。標準では、このフォルダは C:\Windows または C:\Winnt です。

   ---

   
   
5. 次の隠しフォルダを作成します。
   
   
   • %Temp%\4407A9BE6535\6A8C9B51993A
   • %Temp%\4407A9BE6535\773232357FF9
     
     

     ---

     注意: %Temp% は可変で Windows テンポラリフォルダを参照します。標準では、このフォルダは C:\Windows\TEMP (Windows 95/98/Me/XP) または C:\WINNT\Temp (Windows NT/2000) です。

     ---

     
     
6. Winny ファイル共有ネットワークプログラムフォルダを探し、ファイル UpFolder.txt を改変します。
   
   
7. フォルダ %Temp%\4407A9BE6535\773232357FF9 を共有フォルダとして Winny ファイル共有ネットワーク内に追加します。
   
   
8. スクリーンショットをキャプチャし、それらを次のファイルとして保存します。
   
   %Temp%\4407A9BE6535\773232357FF9\[日本のテキスト][ユーザー名][日本のテキスト]([日付]).jpg
   
   
9. 次の拡張子を持つファイルを検索します。
   
   
   • .doc
   • .xls
   • .eml
   • .ppt
   • .dbx
   • .txt
   • .pdf
     
     
10. Winny ファイル共有プログラムフォルダ内で次のファイルを探します。
    
    
    • Download.txt
    • kakikomi.txt
    • tab1.txt
    • tab2.txt
      
      
11. 次のフォルダ内でファイルを探します。
    
    
    • %UserProfile%\Favorites
    • %UserProfile%\Recent
    • %UserProfile%\Local Settings\Application Data\[RANDOM]\Identities\[RANDOM]\Microsoft\Outlook Express
      
      
12. 見付かったファイルを含む .zip ファイルを作成し、それらを次のファイルとして保存します。
    
    %Temp%\4407A9BE6535\773232357FF9\[日本のテキスト][ユーザー名][日本のテキスト].zip
    
    
13. 自分自身のコピーと、ワームのボディから取られたランダムに選択された日本語の語を含む .zip ファイルを作成します。次にこのワームは、この .zip ファイルを to %Temp%\4407A9BE6535\773232357FF9 へコピーします。
    
    
14. 次のプロセスを停止しようとします。
    
    
    • Windows Task Manager (日本語バージョン)
    • ProcessWalker
    • Process Explorer
      
      
15. Trojan.Sientok の亜種である次のファイルを投下して実行します。
    
    %Temp%\sttemp.exe
    
    
16. 次のファイルを投下します。
    
    
    • %System%\winsm.exe
    • %System%\ms[ランダム].exe
      
      
17. 次のサービスを作成します。
    
    WindowsSecurityManager
    
    
18. 次のレジストリサブキーを作成します。
    
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\"WindowsSecurityManager"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\"WindowsSecurityManager"
    
    
19. 現在の日付を定期的にチェックします。その日が月曜日であり、日付が月の 1 日から 6 日までの間にある場合、これは次の Web サイトに対してサービス拒否攻撃 (DoS) を行います。
    
    
    • [http://]www.accsjp/[削除済み]/.or.jp
    • [http://]www2.accsjp/[削除済み]/.or.jp

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
• 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
• パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
• 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。