製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:D
ウイルス情報
ウイルス名危険度
W32/Dumaru.j@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4292
対応定義ファイル
(現在必要とされるバージョン)
4317 (現在7495)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/09/09
発見日(米国日付)03/09/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Dumaru.j@MMは、これまでに発見された亜種(例えば、W32/Dumaru.c@MMをご覧ください)と非常によく似ています。

総称による検出:W32/Dumaru.j@MMは、定義ファイル4230(2002年10月23日発行)以降および4.1.60以降のエンジンでヒューリスティックスキャンを実行すると、“virus or variant of New BackDoor1”として検出されます。したがって、定義ファイル4230以降にアップデートして、プログラムヒューリスティックと圧縮ファイルのスキャンを有効にした場合は、W32/Dumaru.j@MMに対応します。

電子メールを介した繁殖

・W32/Dumaru.j@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。ターゲットマシンにある、以下の拡張子を持つファイルから自身を送信する電子メールの宛先となるアドレスを抜き取ります。

  • .HTM
  • .WAB
  • .HTML
  • .DBX
  • .TBB
  • .ABD

・送信する電子メールメッセージは、 base64でエンコードされた添付ファイル、およびワームのコピーを(C:\2.EXEとして)落とし込んで実行するVisual Basic Scriptを含んでいます。電子メールメッセージの本文は、自動的にこのスクリプトを実行するように作成されています。

・以下のような電子メールメッセージが送信されます。

件名:(なし)
送信者: "Microsoft" security@microsoft.com
添付ファイル: PATCH.EXE
本文:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!

プロセスの終了

・以下のさまざまなプロセスがターゲットマシンで実行中の場合は、終了させます。

  • AGENTSVR.EXE
  • ANTS.EXE
  • APLICA32.EXE
  • APVXDWIN.EXE
  • ATCON.EXE
  • ATUPDATER.EXE
  • ATWATCH.EXE
  • AVSYNMGR.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFINET.EXE
  • CFINET32.EXE
  • DEFWATCH.EXE
  • DRWATSON.EXE
  • FAST.EXE
  • FRW.EXE
  • GUARD.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • LOCKDOWN.EXE
  • LOCKDOWN2000.EXE
  • LUALL.EXE
  • LUCOMSERVER.EXE
  • MCAGENT.EXE
  • MCUPDATE.EXE
  • MGUI.EXE
  • MINILOG.EXE
  • MOOLIVE.EXE
  • MSCONFIG.EXE
  • MSSMMC32.EXE
  • NDD32.EXE
  • NETSTAT.EXE
  • NISSERV.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NPROTECT.EXE
  • NSCHED32.EXE
  • NVARCH16.EXE
  • PAVPROXY.EXE
  • PCCIOMON.EXE
  • PCFWALLICON.EXE
  • PERSFW.EXE
  • POPROXY.EXE
  • PVIEW95.EXE
  • REGEDIT.EXE
  • RTVSCN95.EXE
  • SAFEWEB.EXE
  • SPHINX.EXE
  • SPYXX.EXE
  • SS3EDIT.EXE
  • SYSEDIT.EXE
  • TAUMON.EXE
  • TC.EXE
  • TCA.EXE
  • TCM.EXE
  • TDS-3.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • UPDATE.EXE
  • VPC42.EXE
  • VPTRAY.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSMAIN.EXE
  • VSMON.EXE
  • VSSTAT.EXE
  • WATCHDOG.EXE
  • WEBSCANX.EXE
  • WGFE95.EXE
  • WRADMIN.EXE
  • WRCTRL.EXE
  • WRCTRL.EXE
  • ZAPRO.EXE
  • ZATUTOR.EXE
  • ZAUINST.EXE
  • ZONEALARM.EXE

パスワード詐取コンポーネント

・W32/Dumaru.j@MMは、パスワードを詐取するトロイの木馬も落とし込みます。

  • %WinDir%\GUID32.DLL(4,096バイト)

・このトロイの木馬は、定義ファイル4292と4.2.40以降のエンジンでPWS-Silentとして検出されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・以下のレジストリキーが存在します。
  • HKEY_LOCAL_MACHINE\Software\SARS

・「感染方法」で説明されたファイルとレジストリキーが存在します。

感染方法TOPへ戻る
・W32/Dumaru.j@MMが実行されると、ターゲットマシンに自身のコピーを複数作成します。
  • %WinDir%\DLLREG.EXE
  • %SysDir%\LOAD32.EXE
  • %SysDir%\VXDMGR32.EXE

・Windows startupフォルダにも、RUNDLLW.EXEというファイル名で自身のコピーを落とし込みます。

例:

  • %WinDir%\Start Menu\Programs\Startup\RUNDLLW.EXE

・Windows 9x/NTシステムでは、以下のレジストリフックを追加してシステムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "load32" = %SysDir%\load32.exe

・Windows NT/2000システムでは、以下のレジストリキーを追加します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
    CurrentVersion\Run "run" = %WinDir%\DLLREG.EXE

・以下のレジストリキーを改変します。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
    CurrentVersion\Winlogon "Shell" = Explorer.exe

改変後のレジストリキー:

  • "Shell" = Explorer.exe %SysDir%\vxdmgr32.exe

・システムファイルのWIN.INIとSYSTEM.INIを改変して、システムの起動をフックします。WIN.INIファイルでは、以下のエントリを追加します。

[windows]
"run" = %WinDir%\dllreg.exe

・SYSTEM.INIファイルでは、以下のキーを改変します。

[boot]
"shell" = Explorer.exe

改変後のキー:

"shell" = explorer.exe %SysDir%\VXDMGR32.EXE

・これまで発見された亜種と異なり、寄生して感染するコンポーネント(NTFSストリームを使用)はありません。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足