説明 |
これは MOEGA ウイルス W32.HLLW.Moega です。 W32.HLLW.Moega の実行ファイルは次のファイルです:
wupdated.exe
このワームが実行されると、以下の症状を発生します:
自身をファイル名 %System%\\Wupdated.exe または %System%\\Mplupdate.exe としてコピーします。
%System% = C:Windows\\System (Windows 95/98/Me),
C:Winnt\\System32 (Windows NT/2000), または C:\\Windows\\System32 (Windows XP)
次の値を追加します:
\"Configuration Loaded\" = \"wupdated.exe\"
または
\"Windows Update\" = \"mplupdate.exe\"
を以下のレジストリ キーに追加します: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsof\\Windows\\CurrentVersion\\RunServices
同じサブネット上の任意のコンピュータに接続を試みます。 例えば、感染コンピュータの IP アドレスが A.B.C.D, であれば、ローカルエリアネットワーク上の A.B.C.0 ... A.B.C.255 のすべてのシステムに接続を試みます。当該ワームは以下の文字列を使用してローカルネットワーク上のコンピュータにログオンを試みます:
ユーザ名: wwwadmin, user, system, sqlagent, sql, root, owner, guest, database, administrator, admin. パスワード: 654321, 123456, 1234, 123, 111, 1, wwwadmin, user, system, sqlagent, sql, server, secret, root, password, password123, pass, pass123, owner, hidden, guest, database, asdfgh, asdf, administrator, admin
成功すると当該ワームは自身をリモートコンピュータにコピーし、ポート 139 と 445 を開き、以下のゲームの CD キーを盗難します:
Red Alert 2 IGI 2 Command & Conquer Generals FIFA 2003 Need For Speed Hot Pursuit 2 The Gladiators Soldier of Fortune II Rainbow Six III RavenShield Battlefield 1942 Road To Rome Battlefield 1942 Counter-Strike Unreal Tournament 2003 Half-Life
また以下のコンピュータに関するシステム情報を収集します:
オペレーティング システムの種類、メモリ容量、インストールされたハードウェアの種類など。 IRC サーバに接続し、ハッカーの選んだファイルをダウンロードすることが可能です。 またハッカーの標的にする Web サイトへ Denial of Service (DoS) 攻撃を実行するのに使用される可能性があります。 |