テクニカルサポート > Virus Information Center > 2004年公開情報リスト > Win32.Yanz.A

Win32.Yanz.A

別名 Win32/Yaha.Variant.Worm, I-Worm.Yanz.a (Kaspersky), WORM_YANZ.A (Trend), Yanz.A@mm (Norman), W32/Yanz-A (Sophos), W32/Yanzi.A@mm (McAfee)
カテゴリ Win32
タイプ ワーム
文書公開日 12/14/2004
最終更新日 12/08/2004
被害 : LOW
破壊 : MEDIUM
感染 : HIGH

特徴

Win32.Yanz.Aは、電子メールおよびP2Pファイル共有ネットワーク経由で増殖するワームです。UPXで圧縮された68,608バイトのWin32実行ファイルとして配布されます。

感染方法

Win32.Yanz.Aが実行されると、「HATA」というタイトルのメッセージ ボックスを表示します。メッセージは「KERNEL HATASI」という文字列です。

スクリーンショット

次に、「%System%\lsasss.exe」に自身をコピーし、これがWindows起動時に実行されるよう、以下のレジストリ値を設定します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Kernel = "%System%\lsasss.exe"

注:「%System%」は可変ロケーションです。ワームはオペレーティング システムを検索し、現行のSystemフォルダのロケーションを調べます。 Systemディレクトリのデフォルト インストール先は、Windows 2000およびNTではC:\Winnt\System32、95/98/MEではC:\Windows\System、XPではC:\Windows\System32になっています。

また、自身のコピーが1度に1つしか実行されないよう、「Sun Yanzi – forever」というmutexを生成します。

ワームは以下のロケーションに自身をコピーします。

%System%\yanzi.exe
%Windows%\YanZi.zip (「Sun YanZi.pif」というファイルを含むZIPアーカイブ)

注:「%Windows%」は可変ロケーションです。ワームはオペレーティング システムを検索し、現行のWindowsフォルダのロケーションを調べます。Windowsディレクトリのデフォルト インストール先は、Windows 2000およびNTではC:\Winnt、95/98/MEではC:\Windows、XPではC:\Windowsになっています。

電子メール経由で増殖するために、ワームはBase64でエンコードされた自身のコピーを生成し、使用します(詳細は下記「配布方法」参照)。
%System%\Sun.sys
%System%\Sun_yanZi.sys

配布方法

電子メール経由

Win32.Yanz.Aはメッセージに添付されたファイルとして、電子メールを経由して増殖します。電子メール メッセージはさまざまな本文、件名、添付ファイル名を使用して、生成されます。 差出人アドレスの一部分はでたらめです。ドメイン名は感染したユーザのアドレスと同一のものを使用しますが、アットマークの前のユーザ名の部分は、以下のリストから選択します。

Sun_YanZi

SunYanZi

Guvenlik

YanZi

Sun-YanZi

Stephan-YanZi

YanZi-SuN

自身の送信先となる電子メール アドレスをアドレス帳から取得します。また、ローカル ハード ドライブにある以下の拡張子を持つファイルを検索することによって収集します。

adb
asp
dbx
doc
htm
html
jsp
rtf
txt
xml

DNSのMX(メール エクスチェンジャ)レコードを検索し、自身の送信先となる各ドメインに対応しているメール サーバを調べます。ローカル システムでデフォルトのDNSサーバとして設定されているサーバを使用して検索します。

以下のいずれかの文字列を含むアドレスには電子メールを送信しないようにします。

@google
@kaspersky
@microsoft
@norman
@pandasoftware
@sophos
@symantec

ワームはさまざまな件名を使用します。以下のいずれかの件名が選択される可能性があります。

Forever Sun YanZi
Free MP3
Guvenlik
Love and SuN YanZi
SuN YanZi
Sun-YanZi
Sun-YanZi Mp3

メッセージ本文は、以下のいずれかが選択される可能性があります。

I don't want anything. I want to see Sun YanZi

My Favourite is Sun YanZi.

I want to meet Sun YanZi. I am loving Sun-YanZi Magic.

You must to listen Sun-Yanzi. I am enjoying to listen Sun YanZi.

以下のいずれかのファイル名を使用して、自身を添付します。

Love_Sun
Stephan_Yanzi
SunYanzi
Sun_Yanzi
Sun_Yanzi_Mp3

以下のいずれかの拡張子が付加されます。

.cmd
.pif
.scr
.zip

拡張子「.zip」が使用される場合、実行ファイルはZIPアーカイブに含まれています。 アーカイブ内のファイル名は「Sun YanZi.pif」です。

ワームによって生成される電子メールの例

スクリーンショット

スクリーンショット

P2Pネットワークおよび共有ネットワーク フォルダ経由

このワームは、感染マシンのすべての共有フォルダに自身をコピーすることによって、P2Pネットワークおよび共有ネットワーク フォルダを経由して増殖します。すべてのドライブを検索し、「shar」という文字列が名前に含まれているフォルダを探します。以下のいずれかの名前を使用して、見つかったフォルダに自身をコピーします。

Sun – YanZi.mp3.exe
Stephan YanZi.Mp3.exe
Sun YanZi – forever.mp3.exe
Sun YanZi – Leave me alone.mp3.exe
Sun YanZi – I am not sad.mp3.exe
Sun YanZi – Shen Qi.exe
Sun YanZi.mpeg.exe
Sun YanZi.mpg.exe
Sun YanZi.avi.exe

ペイロード

任意のファイルのダウンロードおよび実行

ワームはファイルをダウンロードし、実行するために、ポート67で受信待機します。ダウンロードされると、ファイルは「%System%\sunyanzi.exe」という名前で実行されます。

プロセスの終了

以下のプロセスが実行されている場合、終了します。

REGEDIT.EXE
MSCONFIG.EXE

追加情報

ワームは「sun_yanzi.htm」というHTMLファイルを自身の実行元のロケーションに生成します。このHTMLファイルが開かれると、「Sun-Yanzi」という文字列が表示されます。

以下の名前を使用して、自身のコピーを実行元のロケーションに生成することもあります。

Shen Qi.exe
<スペース>Shen Qi.exe
-Shen Qi.exe
.exe
e

ワームは以下のアイコンを使用します。

スクリーンショット

Analysis by Amir Fouda


対応シグネチャ/エンジン情報

製品 対応シグネチャ
/エンジン情報*		 ウイルス駆除手順
eTrust Antivirus 6x/v7* (InoculateIT Engine) 23.67.34 駆除手順を参照
eTrust Antivirus 6x/v7* (Vet Engine) 11.x/8763 駆除手順を参照
eTrust EZ Antivirus 6.1x 6.1x/5905 駆除手順を参照
eTrust EZ Antivirus 6.2x 6.2x/8763 駆除手順を参照
eTrust EZ Antivirus 6.3x 6.3x/8763 駆除手順を参照
Vet Anti-Virus 10.5x 10.5x/5905 駆除手順を参照
Vet Anti-Virus 10.6x 10.6x/8763 駆除手順を参照

InoculateITおよびeTrust InoculateIT 6.0のアップデートも含む