Blasterスレ part5
警察庁Welchia.B (=Nachi.B)を解析:日本語Webページを破壊、永久に停止せず
Nachi.Bは感染対象のロケールが日本語だった場合、IISが組み込まれていれば
Webページの内容を反日スローガンに改竄し、自動停止期日が過ぎても停止しない
などの動作をすることが明らかになった。
1 攻撃ポート port 445、port135、port80
2 活動期限 日本語以外の場合 2004年6月1日 (起動中の場合、感染から120日後)
日本語の場合、無期限に活動
3 WEBページ改竄 ロケールが日本語の場合、IISドキュメントルート直下のファイル
を「Let History Tell Future ... 1945.8.6 Little boy」などの反日スローガンに改竄
4 感染後の動作
本体プログラム <システムフォルダ<>\drivers\svchost.exe
レジストリ改変 HKLM\System\CurrentControlSet\Services\WksPatch
詳細はPDFファイル http://www.cyberpolice.go.jp/detect/pdf/Welchia_worm.pdf
Nachi.Bは感染対象のロケールが日本語だった場合、IISが組み込まれていれば
Webページの内容を反日スローガンに改竄し、自動停止期日が過ぎても停止しない
などの動作をすることが明らかになった。
1 攻撃ポート port 445、port135、port80
2 活動期限 日本語以外の場合 2004年6月1日 (起動中の場合、感染から120日後)
日本語の場合、無期限に活動
3 WEBページ改竄 ロケールが日本語の場合、IISドキュメントルート直下のファイル
を「Let History Tell Future ... 1945.8.6 Little boy」などの反日スローガンに改竄
4 感染後の動作
本体プログラム <システムフォルダ<>\drivers\svchost.exe
レジストリ改変 HKLM\System\CurrentControlSet\Services\WksPatch
詳細はPDFファイル http://www.cyberpolice.go.jp/detect/pdf/Welchia_worm.pdf
|
|
|