テクニカルサポート > Virus Information Center > 2004年公開情報リスト > Win32.Buchon.A

Win32.Buchon.A

別名 W32/Baba-A (Sophos), W32.Buchon.A@mm (Symantec), W32/Buchon.gen@MM (McAfee), Win32.Netsky.AF, Win32/Netsky.AF.Worm
カテゴリ Win32
タイプ ワーム
文書公開日 11/04/2004
最終更新日 10/27/2004
被害 : LOW
破壊 : LOW
感染 : HIGH

特徴

Win32.Buchon.Aは、電子メール経由で増殖するワームです。30,752バイトのUPX圧縮された実行ファイルとして配布されます。

感染方法

Buchon.Aは感染システムに自身をインストールするわけではなく、動作が完了した時点で終了し、システムが再起動されても自動的に実行することはありません。

実行されると、感染システム上に2つのファイルを生成します。

  • c:\csrss.exe - a downloader
  • c:\csrss.bin - a harmless text file

Buchon.Aは常にワームのコピーが1つしか実行されないよう、"0x452A561C"というmutexを生成します。

配布方法

電子メール経由

Buchon.Aが含まれている電子メール メッセージは以下のような形式です。

「差出人」アドレスは、感染システム上で取得した、でたらめなものを使用します。ほとんどの場合、受取人アドレスと同じです。

件名:
Mail Delivery failure - <受取人アドレス>

本文:
If the message will not displayed automatically,
you can check original in attached message.txt

Failed message also saved at:
http://www.<受取人ドメイン>/inbox/security/read.asp?sessionid-<任意の数字>
(check attached instructions)

+++ 添付ファイル: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

添付ファイル名:
message txt                                length <任意の数字> bytes                                                                    mcafee.com

以下が、ワームによって生成される電子メールの例です。

スクリーンショット

ワームはC:ドライブ内のファイルを検索し、自身の送付先となる電子メール アドレスを取得します。 ファイル名に以下のいずれかの文字列が含まれている場合、そのファイル内を検索します。

.dbx
.wab
.mbx
.eml
.mdb
.tbb
inbox
.dat

自身のSMTPエンジンを使用して、各アドレスへ自身を送信します。ローカル システムのDNSサーバか、以下のハードコード化されたDNSサーバを使用して、MXレコードを検索し、各受取人のドメインに対応している正しいメール サーバを調べます。
128.214.46.64
216.234.246.150

ペイロード

任意のファイルのダウンロードおよび実行

上記の感染方法のセクションで述べたファイル「c:\csrss.exe」は、以下のレジストリ エントリがあるかどうかを調べます。存在しない場合は、このファイルがWindows起動時に実行されるように、エントリを追加します。

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Key Logger = "c:\csrss.exe"

このファイルが実行されると、ポート番号28032から28455までのポートを使用して、209ものハードコード化されたIPアドレスに対してHTTPの通知データを送信します。ファイル「csrss.bin」内のデータを送信するなどの、HTTPを使ったほかのトランザクションが終わると、%Windows%ディレクトリからファイルがダウンロードされ、実行されることがあります。この後、上記のRunキーのレジストリ値が削除されます。

さらに、感染システム上で常にプログラムのインスタンスが1つしか実行されないよう、mutex「BABA_FEDCBA9876543210_BABA」を生成します。 BABA_FEDCBA9876543210_BABA to ensure that only one instance of the program runs at any time on the affected system.

注:「%Windows%」は可変ロケーションです。この悪意のプログラムはオペレーティング システムを検索し、現行のWindowsフォルダのロケーションを調べます。Windowsディレクトリのデフォルト インストール先は、Windows 2000およびNTではC:\Winnt、95/98/MEではC:\Windows、XPではC:\Windowsになっています。

追加情報

このワームは、2004年10月20日から2004年10月25日までのあいだしか増殖しません。この期間外であれば、csrss.exeを埋め込み、実行して終了します。

Analysis by Hamish O'Dea

 


対応シグネチャ/エンジン情報

製品 対応シグネチャ
/エンジン情報*		 ウイルス駆除手順
eTrust Antivirus 6x/v7* (InoculateIT Engine) 23.67.08 駆除手順を参照
eTrust Antivirus 6x/v7* (Vet Engine) 11.x/8680 駆除手順を参照
eTrust EZ Antivirus 6.1x 6.1x/5826 駆除手順を参照
eTrust EZ Antivirus 6.2x 6.2x/8680 駆除手順を参照
Vet Anti-Virus 10.5x 10.5x/5826 駆除手順を参照
Vet Anti-Virus 10.6x 10.6x/8680 駆除手順を参照

* InoculateITおよびeTrust InoculateIT 6.0のアップデートも含む。