ウイルス情報

ウイルス名 危険度

W32/Duel@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4713
対応定義ファイル
(現在必要とされるバージョン)
4713 (現在7656)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Email-Worm.Win32.Luder.a (Kaspersky) Win32.Worm.Luder.A (BitDefender) Win32/Duel.A!Worm (CA) Win32/Luder.A worm (ESET) WORM_LUDER.A (Trend Micro)
情報掲載日 2006/03/10
発見日(米国日付) 2006/03/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Duel@MMは、自身のSMTPエンジンを使用して、感染したコンピュータ上で収集した電子メールアドレスに自身を送信する、寄生型のファイル感染、大量メール送信型ワームです。W32/Duel@MMはMicrosoft Visual C++で作成されており、無許可のリモートアクセスが可能な限定的なIRC機能も組み込まれています。

・実行時、Windowsのシステムディレクトリに自身のコピーを作成します。

%Windir%\%SYSDIR%\Duel.exe

・以下の値をレジストリに追加して、Windowsの起動時に自身を自動的に起動します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Win32_Duel" = "%Windir%\%SYSDIR%\Duel.exe"

・以下のレジストリキーを改変して、Windows XPのファイアウォールサービスを無効にします。

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess "Start" = "4"

・以下の名前を含むプロセスを終了します。

mcafee
taskmgr
hijack
f-pro
lockdown
msconfig
firewall
blackice
vsmon
zonea
spybot
nod32
reged
troja
viru
anti

・以下のウィンドウのタイトルを持つプロセスを終了します。

Registry Editor
Anti
Anti-Malware

・以下のmutexを作成して、一度に1つのインスタンスのW32/Duel@MMがコンピュータ上で実行できないようにします。

Win32.Duel (c) 2006

・感染の成否、収集した電子メールアドレスなどに関する情報を記載した詳細なログファイルを作成します。

%Windir%\Duel.log

・www.google.comに問い合わせを行って、感染マシンがインターネットに接続しているか確認します。

・TCPポート6667でIRCサーバ、チャネルに参加して、自身の存在を知らせます。

irc.under[削除].org
#england

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Duel@MMはスラックスペースを使用して実行ファイルに感染するため、感染したファイルのサイズは増えません。最初のセクションの終わりに十分なスラックスペースが見つからない場合は、ファイルに感染しません。

・PEファイルを検索して感染します。

  • 最初のセクションの終わりにウイルスコードを挿入します。
  • オリジナルのエントリポイントをウイルスコードの開始に変更します。
  • 挿入したコードはオリジナルのエントリポイントへのジャンプとなります。
  • オリジナルのホストファイルのタイムスタンプを改変します。
  • オリジナルのホストファイルと同じ場所に「random file.duel」という名前の自身のコピーをドロップ(作成)します。

・ファイルが感染すると、感染マーカーであるタイムスタンプを使って、再感染を防ぎます。

注:ウイルスコードのバグにより、感染したファイルは実行されません。

・また、W32/Duel@MMは.rar圧縮ファイルを検索し、自身のコピーを追加します。自身のrarエンジンが組み込まれているため、感染マシンにWinRarがインストールされている必要はありません。

TOPへ戻る

感染方法

メールを介した繁殖

メール本文

・W32/Duel@MMは、現在のユーザのWindowsアドレス帳(WAB)ファイルを検索して、自身を送信する電子メールアドレスを収集します。

・以下のレジストリ値を読み取って、WABファイルを見つけ出します。

HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name

・以下の特徴を持つ電子メールメッセージを作成します。

差出人:(以下のいずれか)

・W32/Duel@MMはWindowsアドレス帳で見つかった電子メールアドレスとウイルス本体に組み込まれている以下の名前を使用します。

Aldora
Alysia
Amorita
Anita
April
Aretina
Barbra
Becky
Bella
Bettina
Blenda
Briana
Bridget
Caitlin
Camille
Cara
Carla
Carmen
Chelsea
Clarissa
Damita
Danielle
Daria
Diana
Donna
Dora
Doris
Ebony
Eden
Eliza
Emily
Erika
Evelyn
Faith
Gale
Gilda
Gloria
Haley
Helga
Holly
Idona
Iris
Isabel
Ivana
Ivory
Janet
Jewel
Joanna
Julie
Juliet
Kacey
Kali
Kara
Kassia
Katrina
Kyle
Lara
Laura
Linda
Lisa
Lolita
Lynn
Maia
Mary
Melody
Mimi
Myra
Nadia
Naomi
Natalie
Nicole
Nina
Nora
Nova
Olga
Olivia
Pamela
Peggy
Queen
Rachel
Rita
Rosa
Ruby
Sharon
Silver
Valda
Valora
Vanessa
Vicky
Violet
Vivian
Wendy
Willa
Xandra
Xenia
Xylia
Zenia
Zilya

件名:(以下のいずれか)

Love...
Valentine (a little late)
A kiss for a smile
Me and you
True feelings
My heart
Yours forever
Thee and me

本文:(以下のいずれか)

I wrote your name in the sky,
but the wind blew it away.
I wrote your name in the sand,
but the waves washed it away.
I wrote your name in my heart,
and forever it will stay.

I love the way you touch me,
Always sending chills down my spine.
I love that you are with me,
And glad that you are mine.

I love the way you make me so happy,
And the ways you show you care.
I love the way you say, I Love You,
And the way you're always there.

I love the way you look at me,
Your eyes so bright and blue.
I love the way you kiss me,
Your lips so soft and smooth.

If I could have just one wish,
I would wish to wake up everyday
to the sound of your breath on my neck,
the warmth of your lips on my cheek,
the touch of your fingers on my skin,
and the feel of your heart beating with mine...
Knowing that I could never find that feeling
with anyone other than you.

My love, I have tried with all my being
to grasp a form comparable to thine own,
but nothing seems worthy;

And though at times a thread may break
A new one forms in its wake
To bind us closer and keep us strong
In a special world, where we belong.

Its fingers spread like fine spun gold
Gently nestling us to the fold
Bonds like this are meant to last.

A special world for you and me
A special bond one cannot see
It wraps us up in its cocoon
And holds us fiercely in its womb.

添付ファイル:(以下のいずれか)

WantsU.exe
My heart.exe
A smile.exe
Forever.exe
My love.exe
My desire.exe
My hope.exe
My wish.exe
The sky.exe

TOPへ戻る

駆除方法

■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足

TOPへ戻る