製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Blurt@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4284
対応定義ファイル
(現在必要とされるバージョン)
4284 (現在7401)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Blare (AVP):W32.Blare@mm (Symantec):WORM_BLARE.A (Trend)
情報掲載日03/09/05
発見日(米国日付)03/09/04
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Blurt@MMは、http://www.theregister.co.uk/content/56/32662.htmlでメディアの注目を集めたので、危険度を“低[要注意]”にしました。

・W32/Blurt@MMは、定義ファイル4252および4.2.40スキャンエンジンを使用して圧縮実行ファイルをスキャンすると、総称で検出されます。4.1.60スキャンエンジンでも同様に検出されますが、プログラムヒューリスティックを有効にしてスキャンする必要があります。検出名は定義ファイルのバージョンとエンジンによって異なりますが、W32/Genericの一種、またはNew Wormとして検出されます。

・W32/Blurt@MMは、W32/Generic.worm!ircとして検出され、Microsoft OutlookやInternet Relay Chatを介して繁殖します。セキュリティソフトウェアの終了、DoS(サービス拒否)攻撃、Webページの上書き、レジストリエディタとタスクマネージャの無効化などの発病ルーチンもあります。

・以下のような電子メールメッセージで届きます。

件名:(以下のいずれか)

  • Your Account Infomation.
  • Your Account is on hold.
  • Your Account has been suspended.
  • Account Infomation.
  • Account Invoice.
  • Email Account Infomation.
  • This quaters invoice.
  • Account Billing Information.
  • YOUR ACCOUNT REF:
  • ORDER CONFIRMATION:
  • Account,is on hold.

本文:

  • Dear Sir,

    (続きは以下のいずれか)

  • Please can you check that your account information is up to date.
    Your details are attached to this email.
  • Please can you confirm that your account information is correct.
    Your current details are attached to this email.
  • Please find attached this quaters invoice for your Internet Account.
  • Please find your details attached. Thank you.
    Details are attached to this email.

    (続きは以下のいずれか)

  • Regards, Billing Team.
  • Regards, Support Team.

添付ファイル:(以下のいずれか)

  • Account Invoice.Doc.exe
  • Your Account.Doc.exe
  • Account Details.Doc.exe
  • Your Account Info.Doc.exe
  • Account Information.Doc.exe
  • Billing Information.Doc.exe
  • Invoice.Doc.exe
  • Account Update.Doc.exe
  • Account Status.Doc.exe
  • Your Account Status.exe

送信される電子メールメッセージの例:

・添付ファイルが実行されると(マウス、またはキーボードを使用して手動でアクセスされると)、PROGRA~1 (Program Files)ディレクトリにACCOUNT_DETAILS.DOC.exeというファイル名で自身をコピーします(ただし、テストでは実行しませんでした)。存在しないACCOUNT_DETAILS.DOC.exeファイルを読み込むために、以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Windows Task Manager" = c:\progra~1\ACCOUNT_DETAILS.DOC.exe

・C:ドライブのルートにWIN32.SORT-IT-OUT-BLAIR.TXTという名前のファイルを作成します。このファイルは、以下のテキストを含んでいます。

  • Infected by the WIN32.SORT-IT-OUT-BLAIR Virus!

・上記のテキストで、以下のファイルを上書きします。

  • c:\inetpub\wwwroot\default.asp
  • c:\inetpub\wwwroot\default.htm
  • c:\inetpub\wwwroot\default.html
  • c:\inetpub\wwwroot\index.asp
  • c:\inetpub\wwwroot\index.htm
  • c:\inetpub\wwwroot\index.html

・感染ユーザと同じチャネルの参加者にこのウイルスを送信する命令を、mIRCスクリプトに上書きします。このウイルスと共に、以下のメッセージを送信します。

Hey, Do you want to take part of the iRC chain mail world record? If so all you have to do is load up the program add your irc nick and press submit! Just rename the file from .irc to .exe and your ready to go!

・以下のレジストリキーを作成して、レジストリエディタとタスクマネージャを無効にします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\System "DisableRegistryTools" = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\System "DisableTaskMgr" = 1

・毎月11日に、www.number-10.gov.ukドメインでICMPサービス拒否攻撃を開始します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・以下のプロセスを終了します。

  • ADVXDWIN.EXE
  • ALERTSVC.EXE
  • ALOGSERV.EXE
  • AMON9X.EXE
  • ANTI-TROJAN.EXE
  • ANTS.EXE
  • APVXDWIN.EXE
  • ATCON.EXE
  • ATUPDATER.EXE
  • ATWATCH.EXE
  • AUTODOWN.EXE
  • AVCONSOL.EXE
  • AVE32.EXE
  • AVGCC32.EXE
  • AVGCTRL.EXE
  • AVGSERV.EXE
  • AVGSERV9.EXE
  • AVGW.EXE
  • AVKSERV.EXE
  • AVNT.EXE
  • AVP.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPDOS32.EXE
  • AVPM.EXE
  • AVPTC32.EXE
  • AVPUPD.EXE
  • AVSCHED32.EXE
  • AVSYNMGR.EXE
  • AVWIN95.EXE
  • AVWINNT.EXE
  • AVWUPD32.EXE
  • AVXMONITOR9X.EXE
  • AVXMONITORNT.EXE
  • AVXQUAR.EXE.EXE
  • AVXW.EXE
  • AgentSvr.exe
  • AutoTrace.exe
  • Avgctrl.exe
  • Avsched32.exe
  • BLACKD.EXE
  • BLACKICE.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFINET.EXE
  • CFINET32.EXE
  • CLAW95.EXE
  • CLAW95CF.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • CMGRDIAN.EXE
  • CONNECTIONMONITOR.EXE
  • CPD.EXE
  • CPDCLNT.EXE
  • DEFWATCH.EXE
  • DOORS.EXE
  • DVP95.EXE
  • DVP95_0.EXE
  • ECENGINE.EXE
  • EFPEADM.EXE
  • ESAFE.EXE
  • ESPWATCH.EXE
  • ETRUSTCIPE.EXE
  • EVPN.EXE
  • EXPERT.EXE
  • F-AGNT95.EXE
  • F-PROT.EXE
  • F-PROT95.EXE
  • F-STOPW.EXE
  • FINDVIRU.EXE
  • FP-WIN.EXE
  • FPROT.EXE
  • FRW.EXE
  • GENERICS.EXE
  • GUARD.EXE
  • GUARDDOG.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • IBMASN.EXE
  • IBMAVSP.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFACE.EXE
  • IOMON98.EXE
  • ISRV95.EXE
  • InoRT.exe
  • InoRpc.exe
  • InoTask.exe
  • JEDI.EXE
  • LDNETMON.EXE
  • LDPROMENU.EXE
  • LDSCAN.EXE
  • LOCKDOWN.EXE
  • LOCKDOWN2000.EXE
  • LOOKOUT.EXE
  • LUALL.EXE
  • LUCOMSERVER.EXE
  • MCAGENT.EXE
  • MCMNHDLR.EXE
  • MCSHIELD.EXE
  • MCTOOL.EXE
  • MCUPDATE.EXE
  • MCVSRTE.EXE
  • MCVSSHLD.EXE
  • MGAVRTCL.EXE
  • MGAVRTE.EXE
  • MGHTML.EXE
  • MINILOG.EXE
  • MONITOR.EXE
  • MOOLIVE.EXE
  • MPFTRAY.EXE
  • MWATCH.EXE
  • N32SCANW.EXE
  • NAVAPSVC.EXE
  • NAVAPW32.EXE
  • NAVLU32.EXE
  • NAVNT.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NDD32.EXE
  • NETUTILS.EXE
  • NISSERV.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORMIST.EXE
  • NPROTECT.EXE
  • NPSSVC.EXE
  • NSCHED32.EXE
  • NTVDM.EXE
  • NTXconfig.exe
  • NUPGRADE.EXE
  • NVC95.EXE
  • NWService.exe
  • NWTOOL16.EXE
  • Navapw32.exe
  • NeoWatchLog.exe
  • Nui.EXE
  • PADMIN.EOUTPOST.EXE
  • PADMIN.EXE
  • PAVCL.EXE
  • PAVSCHED.EXE
  • PAVW.EXE
  • PCCIOMON.EXE
  • PCCWIN98.EXE
  • PCFWALLICON.EXE
  • PERSFW.EXE
  • POP3TRAP.EXE
  • POPROXY.EXE
  • PORTMONITOR.EXE
  • PROCESSMONITOR.EXE
  • PVIEW95.EXE
  • RAV7.EXE
  • RAV7WIN.EXE
  • REALMON.EXE
  • RESCUE.EXE
  • RTVSCN95.EXE
  • Realmon.exe
  • SAFEWEB.EXE
  • SCAN32.EXE
  • SCAN95.EXE
  • SCANPM.EXE
  • SCRSCAN.EXE
  • SERV95.EXE
  • SMC.EXE
  • SPHINX.EXE
  • SPYXX.EXE
  • SS3EDIT.EXE
  • SWEEP95.EXE
  • SWNETSUP.EXE
  • SYMPROXYSVC.EXE
  • SYMTRAY.EXE
  • SymProxySvc.exe
  • TBSCAN.EXE
  • TC.EXE
  • TCA.EXE
  • TCM.EXE
  • TDS-3.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • TFAK.EXE
  • VET32.EXE
  • VET95.EXE
  • VETTRAY.EXE
  • VIR-HELP.EXE
  • VPC32.EXE
  • VPTRAY.EXE
  • VSCAN40.EXE
  • VSCHED.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSMAIN.EXE
  • VSMON.EXE
  • VSSTAT.EXE
  • VbCons.exe
  • WATCHDOG.EXE
  • WEBSCANX.EXE
  • WEBTRAP.EXE
  • WFINDV32.EXE
  • WGFE95.EXE
  • WIMMUN32.EXE
  • WRADMIN.EXE
  • WRCTRL.EXE
  • ZAPRO.EXE
  • ZONEALARM.EXE
  • _AVP32.EXE
  • _AVPCC.EXE
  • _AVPM.EXE
  • apvxdwin.exe
  • avkpop.exe
  • avkservice.exe
  • avkwctl9.exe
  • defscangui.exe
  • fameh32.exe
  • fch32.exe
  • fih32.exe
  • fnrb32.exe
  • fsaa.exe
  • fsav32.exe
  • fsgk32.exe
  • fsm32.exe
  • fsma32.exe
  • fsmb32.exe
  • gbmenu.exe
  • gbpoll.exe
  • zapro.exe
  • iamapp.exe
  • netstat.exe
  • nisum.exe
  • ntrtscan.EXE
  • nvsvc32.exe
  • pavproxy.exe
  • pccntmon.EXE
  • pccwin97.EXE
  • pcscan.EXE
  • regedit.exe
  • sbserv.exe
  • sscansvc.exe
  • taskmgr.exe
  • vbcmserv.exe
  • vsmon.exe
  • zonealarm.exe

・以下のサービスを中止します。

  • Event Log
  • Messenger
  • Zonealarm
  • TrueVector Internet Monitor
  • Norton Antivirus Auto Protect Service
  • Norton Internet Security Accounts Manager
  • Norton Internet Security Proxy Service
  • Norton Internet Security Service
  • Norton AntiVirus Server
  • Norton AntiVirus Auto Protect Service
  • Norton AntiVirus Client
  • Symantec AntiVirus Client
  • McShield
  • IPSEC Policy Agent
  • DefWatch
  • WMDM PMSP Service

感染方法TOPへ戻る

・W32/Blurt@MMは、Microsoft Outlook(Outlookのアドレス帳に登録されている宛先に自身を送信)、およびmIRC Internet Relay Chatクライアントを介して繁殖します。

駆除方法TOPへ戻る
・AVERTはこのウイルスの危険度を「低」と判断しています。

β版ウイルス定義ファイルにはすでに検出機能が含まれています。

・通常定義ファイルがリリースされるまでの間は以下のEXTRA.DATをお使いください。

EXTRA.DAT

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足