プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 Eメールを介したスパム活動, 共有ネットワークフォルダを介した感染活動

「NYXEM」は、メモリ常駐型ワームのファミリで、Eメールの添付ファイルとして自身のコピーを送信し拡散します。ワームは、こうしたEメールを標的としたアドレスに、自身のSimple Mail Transfer Protocol(SMTP)エンジンを利用して送信します。またワームは、ネットワーク共有を介して拡散します。特定の共有のネットワークを検索し、上述の不正活動を実行し、自身のコピーを作成します。

また「NYXEM」は、「BlackWorm」としても知られており、セキュリティに関連したファイルおよびレジストリ、セキュリティ対策製品を終了します。さらにワームは、インストールファルダを削除し上述のアプリケーションのウィンドウを閉じます。こうした不正活動により、被参照プログラムが正常に機能せず、感染したコンピュータはその他の不正活動に対してより脆弱になります。

「NYXEM」の特定の亜種は、毎月3日に活動します。このワームのファミリは、マウスおよびキーボードを無効にします。

  詳細

メモリ常駐 はい

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe
  • %System Root%\WINZIP_TMP.exe
  • %System%\Update.exe
  • %System%\Winzip.exe
  • %System%\scanregw.exe
  • %Windows%\Rundll16.exe
  • %Windows%\WINZIP_TMP.exe
  • \Admin$\WINZIP_TMP.exe
  • \c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe
  • \c$\WINZIP_TMP.exe
  • %Program Files%\WinZip_Tmp.exe

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
ScanRegistry = "scanregw.exe /scan"

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses
{default} = "Licensing: Copying the keys may be a violation of established copyrights."

ワームは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
WebView = "0"

(註:変更前の上記レジストリ値は、「"1"」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
CabinetState
FullPath = "1"

(註:変更前の上記レジストリ値は、「"0"」となります。)

ワームは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\096EFC40-6ABF-11cf-850C-08002B30345D

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\190B7910-992A-11cf-8AFA-00AA00C00905

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\2c49f800-c2dd-11cf-9ad6-0080c7e7b78d

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\4250E830-6AC2-11cf-8ADB-00AA00C00905

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\4D553650-6ABE-11cf-8ADB-00AA00C00905

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\556C75F1-EFBC-11CF-B9F3-00A0247033C4

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\57CBF9E0-6AA7-11cf-8ADB-00AA00C00905

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\5f54e750-ce26-11cf-8e43-00a0c911005a

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\6FB38640-6AC7-11cf-8ADB-00AA00C00905

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\72E67120-5959-11cf-91F6-C2863C385E30

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\78E1BDD1-9941-11cf-9756-00AA00C00908

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\7C35CA30-D112-11cf-8E72-00A0C90F26F8

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\899B3E80-6AC6-11cf-8ADB-00AA00C00905

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\9E799BF1-8817-11cf-958F-0020AFC28C3B

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\B1EFCCF0-6AC1-11cf-8ADB-00AA00C00905

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\BC96F860-9928-11cf-8AFA-00AA00C00905

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\E32E2733-1BC5-11d0-B8C3-00A0C90DCA10

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\F4FC596D-DFFE-11CF-9551-00AA00A3DC45

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(註:変更前の上記レジストリ値は、「"1"」となります。)

作成活動

ワームは、以下のファイルを作成します。

  • %System%\{malware name}.zip
  • %System%\MSWINSCK.OCX
  • %Windows%\Tasks\At{number}.job
  • %Program Files%\Temp.Htt
  • %Program Files%\desktop.ini

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}ts.web.rcn.net/cgi-bin/Count.cgi?df=765247

  対応方法

対応検索エンジン: 9.200

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください