テクニカルサポート > Virus Information Center > 2004年公開情報リスト > Win32.Zafi.D

Win32.Zafi.D

別名	Email-Worm.Win32.Zafi.d (Kaspersky), Win32.Zafi.D!ZIP, Win32/Zafi.D.Worm, W32/Zafi.d@MM (McAfee)
カテゴリ	Win32
タイプ	ワーム
文書公開日	12/21/2004
最終更新日	12/20/2004

被害 :
破壊 :
感染 :

特徴

Win32.Zafi.Dは、電子メールおよびP2Pファイル共有経由で増殖するワームです。FSGで圧縮された11,745バイトのWindows実行ファイルとして配布されます。ZIPアーカイブに含まれている場合もあります。

感染方法

Win32.Zafi.Dが実行されると、虚偽のエラーメッセージを表示します。

スクリーンショット

自身を「%System%\Norton Update.exe」にコピーします。このコピーがWindows起動時に自動的に実行されるよう、以下のレジストリ値を設定します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Wxp4 = "%System%\Norton Update.exe"

注：「%System%」は可変ロケーションです。ワームはオペレーティングシステムを検索し、現行のSystemフォルダのロケーションを調べます。Systemディレクトリのデフォルトインストール先は、Windows 2000およびNTではC:\Winnt\System32、95/98/MEではC:\Windows\System、XPではC:\Windows\System32になります。

感染マシン上でワームのコピーが1度に1つしか実行されないよう「Wxp4」というmutexを生成します。

配布方法

電子メール経由

このワームは、ローカルのCからHドライブまでにある、以下の拡張子が付いたファイルを検索して、電子メールを収集します。

htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb

また、以下のレジストリからWindowsアドレス帳（WAB）ファイルのロケーションを読み込み、検索します。

HKCU\Software\Microsoft\WAB\WAB4\Wab File Name\(デフォルト)

Win32.Zafi.Dは感染マシンから電子メールを送信するために、自身のSMTPエンジンを使用します。
以下のいずれかの文字列を受取人のドメイン名に付けてメールサーバ名を作成し、これを使用します。

mail.
smtp.
mail01.
mailb.
mail2.
smtp2.
mx.
mx0.
mx1.
mxs.
relay.
relay1.
gate.

以下の文字列を含む電子メールアドレスには自身を送信しないようにします。

yaho
google
win
use
info
help
admi
webm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper

以下のいずれかの拡張子が付いた実行ファイルの形式で、自身を添付します。

.cmd
.bat
.pif
.com

ただし、圧縮されたZIPファイルとして増殖することもあります。

件名、添付ファイル名、メッセージ本文は受取人アドレスのトップレベルドメインによって違ってきます。

メッセージ本文は以下のような形式になります。

* [1つめの単語] .... <GIF画像> .... [2つめの単語] *

:) [名前]

http://[受取人のドメイン]/[拡張子を除いた添付ファイル名] Picture Size: 11 KB, Mail: +OK

添付ファイル名は以下のような形式になります。

[link. / <空白>][3つめの単語][christmas. / <空白>][index. / <空白>][php / htm / jpg / gif / <空白>][任意の4桁の数字][.cmd / .bat / .pif / .com]

例

link.postcard.christmas.php4864.bat
postcard.christmass.index.gif6351.pif

1つめの単語、2つめの単語、名前、件名、3つめの単語については、組み合わせが決まっており、以下のリストから選択されます。

[1つめの単語]
[2つめの単語]
[名前]
[件名]
[3つめの単語]

Kellemes
Cnnepeket!
T. Maria
boldog karacsony...
karacsony

Feliz
Navidad!
N. Fernandez
Feliz Navidad!
navidad

Glaedelig
Jul!
V. Jensen
Christmas Kort!
ekort

God
Jul!
J. Andersson
Christmas Vykort!
vykort

God
Jul!
M. Emma
Christmas Postkort!
postkort

Iloista
Joulua!
M. Virtanen
Christmas postikorti!
postikorti

Naujieji
Metai!
C. Lina
Christmas Atviruka!
atviruka

Wesolych
Swiat!
S. Ewa
Christmas - Kartki!
kartki

Frohliche
Weihnachten!
H. Irene
Weihnachten card.
weihnachten

Prettige
Kerstdagen!
R. Cornel
Prettige Kerstdagen!
kerstdagen

VeselT
Vßnoce!
V. Dusan
Christmas pohlednice
pohlednice

Joyeux
Noel!
J. Martin
Joyeux Noel!
ecarte

Buon
Natale!
T. Antonio
Buon Natale!
cartoline

Happy
Hollydays!
Pamela M.
Merry Christmas!
postcard

注：件名のあたまには「Fw:」や「Re:」が付くことがあります。1つめと2つめの単語は電子メールの本文で表示されないこともあり、名前はデフォルトの差出人の名前が使用される場合があります。　

ワームによって生成される電子メールの例

スクリーンショット

P2Pネットワーク/ネットワーク共有経由

このワームはCからHまでのドライブを検索し、名前に「share」「upload」または「music」という文字列が含まれているディレクトリを探します。以下のいずれかの名前を使用して、見つけたディレクトリに自身を埋め込みます。

winamp 5.7 new!.exe
ICQ 2005a new!.exe

ペイロード

アプリケーションを実行させない

Win32.Zafi.Dは、ファイル名に以下の文字列が含まれているアプリケーションを、ユーザに使用させないようにします。

regedit
msconfig
task

追加情報

Win32.Zafi.Dは自身が使用するいくつかの値を含む、以下のキーを生成します。

HKLM\Software\Microsoft\Wxp4

ワームはまた、拡張子「.dll」が付いた任意の名前のファイルを、自身のコピーが保存されている%System%ディレクトリに埋め込みます。

Analysis by Oleg Petrovsky

Win32.Zafi.D駆除手順

Win32.Zafi.D
eTrust Antivirus 6x/v7* (InoculateIT Engine)
駆除手順

シグネチャ： 23.67.65

駆除手順:最新のeTrust Antivirusシグネチャファイルをダウンロードおよび適用します。 eTrust Antivirusのローカルスキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータシステムでフルスキャンを実行します。

これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。

WIndows MEおよびXPをご使用の場合はこちらをご覧ください

ご注意： これらのシグネチャ番号（およびそれ以上）を使用することで、ウイルスから保護することができます。現在ダウンロード可能なシグネチャファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。

Win32.Zafi.D
eTrust Antivirus 6x/v7* (Vet Engine)
駆除手順

シグネチャ： 11.x/8806

駆除手順:最新のeTrust Antivirusシグネチャファイルをダウンロードおよび適用します。 eTrust Antivirusのローカルスキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータシステムでフルスキャンを実行します。

これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。

WIndows MEおよびXPをご使用の場合はこちらをご覧ください

ご注意：これらのシグネチャ番号（およびそれ以上）を使用することで、ウイルスから保護することができます。現在ダウンロード可能なシグネチャファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。

対応シグネチャ/エンジン情報

製品	対応シグネチャ /エンジン情報*	ウイルス駆除手順
eTrust Antivirus 6x/v7* (InoculateIT Engine)	23.67.65	上記の駆除手順を参照
eTrust Antivirus 6x/v7* (Vet Engine)	11.x/8806	上記の駆除手順を参照
eTrust EZ Antivirus 6.1x	6.1x/5946	駆除手順を参照
eTrust EZ Antivirus 6.2x	6.2x/8806	駆除手順を参照
eTrust EZ Antivirus 6.3x	6.3x/8806	駆除手順を参照
Vet Anti-Virus 10.6x	10.6x/8806	駆除手順を参照

＊ InoculateITおよびeTrust InoculateIT 6.0のアップデートも含む。