[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:04720] Re: nimda
- To: connect24h@xxxxxxxxxxxxxxxxxxxx
- Subject: [connect24h:04720] Re: nimda
- From: "ITO, Sakuya" <sakuya_ito@xxxxxxxxxxxxxxxxxxx>
- Date: Thu, 20 Sep 2001 16:52:41 +0900
伊藤です。
>
>k-imです。
>
>desktop.emlが全フォルダにばらまかれる謎。
中略
>ところで
>「Riched20.dll」
>も書き換わるってのは
>ウイルスの実装ミスでしょうか?
>ワードパッドが起動しなくなるだけです。
>本当はワードパッドが起動される都度
>繁殖させたかったんでしょうけれど。
Symantec のセキュリティ・レスポンス W32.Nimda.A@mm (最終更新日: 2001年9
月20日 1:50 PM)
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@xxxxxxx
によると
--引用ここから---------------------------------------------------------
次に、ワームは実行ファイルに感染し、自分自身を.eml、.nwsファイルとして作
成し、ローカルドライブ上にある.docファイルが含まれるディレクトリすべてに
自分自身をriched20.dllとしてコピーします。ワームは、次のレジストリキーに
リストされているパスに含まれるファイルをすべて検索します。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
ワームはsystem.iniを次のように改変することによりシステムをフックします。
Shell= explorer.exe load.exe -dontrunold
また、Riched20.dllファイルを置き換えます。Riched20.dllはMicrosoft Wordな
どのアプリケーションに使用されるWindowsの正規の.DLLです。このDLLを置き換
えることによって、Microsoft Wordなどのアプリケーションが実行されるたびに
毎回、ワームが実行されるようになります。
--引用ここまで---------------------------------------------------------
とあります。
これらの情報を読むかぎり、ソフトウェアと社会科学のスキルレベルの高い人間
が、念入りかつ周到に作ったワームにみえます。
---------------------------------------------------------
伊藤 佐久也 sakuya-ito@xxxxxxxxxxxxxxxxxxx
------------------------------------------------------------------------
ニュース速報! はインフォシークで!!
http://www.infoseek.co.jp/Home?pg=Home.html&svx=971122