製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:D
ウイルス情報
ウイルス名危険度
W32/Dumaru.a@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4287
対応定義ファイル
(現在必要とされるバージョン)		4306 (現在7109)
対応エンジン4.2.40以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名W32.Dumaru@mm (Symantec)
W32/Dumaru@MM
WORM_DUMARU.A (Trend)
情報掲載日03/08/19
発見日(米国日付)03/08/19
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
06/17RDN/Sdbot.bf...
06/17VBS/LoveLett...
06/17Generic Qhos...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7109
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
2003年8月29日更新情報
このウイルスの感染レベルが上がっているため、個人ユーザに対する危険度を、「中」に引き上げました。

当ウイルスは、4287ウイルス定義ファイルで検出されますが、感染時の 修復には、4290ウイルス定義ファイルが必要です。

これはメール大量送信型ワームです。ヒューリスティクスを使った場合は、エンジン4.2.40と定義ファイル4239以上との組み合わせにより"virus or variant of New Malware-b"として検出されます。なお定義ファイル4239は2002/12/23に発行されたものです。

大量メール送信機能

このワームは独自のSMTPエンジンにより、以下の形式で電子メールを送付します。

差出人: "Microsoft" security@microsoft.com
件名: Use this patch immediately !
添付ファイル: patch.exe

このワームは、ハードディスク内を検索して、.htm, .wab, .html, .dbx, .tbb, .abdなどの拡張子のファイルから、自分自身の送り先とするためのメールアドレスを抜き取ります。これらのメールアドレスはwinload.logというファイルに書き込まれます。

発病

パスワード詐取コンポーネントが落とし込まれます。このコンポーネントはPWS-Narodとして検出されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

システム起動時のファイル実行を意図して、以下のレジストリキーがフックされます。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "load32" = C:\%WINDIR%\load32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\ Winlogon "Shell" = explorer.exe C:\WINNT\System32\vxdmgr32.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows
    NT\CurrentVersion\Windows "run" = C:\WINDOWS\dllreg.exe

・このワームは自分自身を以下のディレクトリにコピーします。

  • c:\%WINDIR%\dllreg.exe
  • c:\%SYSDIR%\load32.exe
  • c:\%SYSDIR%\vxdmgr32.exe

・PWS-Narodトロイの木馬は、 %WinDir% ディレクトリに、windrv.exe としてコピーされます。

・win.iniファイルも、起動時にワームを実行するように、改変されます。

  • c:\windows\system.ini, [boot] "shell" = explorer.exe C:\%SYSDIR%\vxdmgr32.exe
  • c:\windows\win.ini, [windows] "run"= C:\%WINDIR%\dllreg.exe
    (通常%WINDIR%はC:\windowsかC:\winntで%SYSDIR%はC:\windows\systemかC:\winnt\systemです。)

感染方法TOPへ戻る

添付ファイルが手動で実行されると、W32/Dumaru.a@MMは自身を、ローカルシステムの以下の拡張子のついたファイル中でみつけたメールアドレスに送信します。

  • .htm
  • .wab
  • .html
  • .dbx
  • .tbb
  • .abd

これらのメールアドレスは%WinDir%内のwinload.logという名前のファイルに保存されます。W32/Dumaru.a@MMは自身のSMTPエンジンを通してこれらの受信者に自身を送信します。

W32/Dumaru.a@MMはまた、ストリームを利用してNTFSボリュームのexeファイルに侵入して感染します。このワームは本来あったコードをSTRという名前のストリームに変更することで、hostファイルを占領します。W32/Dumaru.a@MMはそこで自身のコードを実行し、ストリームから本来のexeを読み込みます。この方法で感染した場合、STRストリームは必ずしもいつも作成されません。改変の加えられたファイルの中身を復元することは出来ません。

駆除方法TOPへ戻る
・定義ファイル4287で検出されます。

・また指定されたエンジンバージョン以降が必要です。

手動による駆除方法

  1. ・Win9x/ME:「セーフモード」(ウィンドウズテキスト表示中にF8キーを押し、Safe Modeを選択)でシステムを再起動します。
    ・WinNT/2K/XP:以下のプロセスを終了します。
    • LOAD32.EXE
    • VXDMGR32.EXE
    • DLLREG.EXE
  2. ウィンドウズディレクトリから以下のファイルを削除します。(通常はc:\windows または c:\winnt)
    • %WinDir%\DLLREG.EXE
    • %SysDir%\LOAD32.EXE
    • %SysDir%\VXDMGR32.EXE
  3. レジストリを編集します。
    • 以下の場所から'Load32'の値を削除。
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • 以下のkey中の"Run"の値を"C:\WINDOWS\DLLREG.EXE"から""へと編集する。
      • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    • 以下のkey中の"Shell"の値を"explorer.exe %sysdir%\vxdmgr32.exe"から"explorer.exe"へと編集する。
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Windows ME/XPでの駆除についての補足