ウイルス情報

ウイルス名 危険度

W32/Dumaru.a@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4287
対応定義ファイル
(現在必要とされるバージョン)
4306 (現在7652)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Dumaru@mm (Symantec)
W32/Dumaru@MM
WORM_DUMARU.A (Trend)
情報掲載日 03/08/19
発見日(米国日付) 03/08/19
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2003年8月29日更新情報
このウイルスの感染レベルが上がっているため、個人ユーザに対する危険度を、「中」に引き上げました。

当ウイルスは、4287ウイルス定義ファイルで検出されますが、感染時の 修復には、4290ウイルス定義ファイルが必要です。

これはメール大量送信型ワームです。ヒューリスティクスを使った場合は、エンジン4.2.40と定義ファイル4239以上との組み合わせにより"virus or variant of New Malware-b"として検出されます。なお定義ファイル4239は2002/12/23に発行されたものです。

大量メール送信機能

このワームは独自のSMTPエンジンにより、以下の形式で電子メールを送付します。

差出人: "Microsoft" security@microsoft.com
件名: Use this patch immediately !
添付ファイル: patch.exe

このワームは、ハードディスク内を検索して、.htm, .wab, .html, .dbx, .tbb, .abdなどの拡張子のファイルから、自分自身の送り先とするためのメールアドレスを抜き取ります。これらのメールアドレスはwinload.logというファイルに書き込まれます。

発病

パスワード詐取コンポーネントが落とし込まれます。このコンポーネントはPWS-Narodとして検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

システム起動時のファイル実行を意図して、以下のレジストリキーがフックされます。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "load32" = C:\%WINDIR%\load32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\ Winlogon "Shell" = explorer.exe C:\WINNT\System32\vxdmgr32.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows
    NT\CurrentVersion\Windows "run" = C:\WINDOWS\dllreg.exe

・このワームは自分自身を以下のディレクトリにコピーします。

  • c:\%WINDIR%\dllreg.exe
  • c:\%SYSDIR%\load32.exe
  • c:\%SYSDIR%\vxdmgr32.exe

・PWS-Narodトロイの木馬は、 %WinDir% ディレクトリに、windrv.exe としてコピーされます。

・win.iniファイルも、起動時にワームを実行するように、改変されます。

  • c:\windows\system.ini, [boot] "shell" = explorer.exe C:\%SYSDIR%\vxdmgr32.exe
  • c:\windows\win.ini, [windows] "run"= C:\%WINDIR%\dllreg.exe
    (通常%WINDIR%はC:\windowsかC:\winntで%SYSDIR%はC:\windows\systemかC:\winnt\systemです。)

    TOPへ戻る

感染方法

添付ファイルが手動で実行されると、W32/Dumaru.a@MMは自身を、ローカルシステムの以下の拡張子のついたファイル中でみつけたメールアドレスに送信します。

  • .htm
  • .wab
  • .html
  • .dbx
  • .tbb
  • .abd

これらのメールアドレスは%WinDir%内のwinload.logという名前のファイルに保存されます。W32/Dumaru.a@MMは自身のSMTPエンジンを通してこれらの受信者に自身を送信します。

W32/Dumaru.a@MMはまた、ストリームを利用してNTFSボリュームのexeファイルに侵入して感染します。このワームは本来あったコードをSTRという名前のストリームに変更することで、hostファイルを占領します。W32/Dumaru.a@MMはそこで自身のコードを実行し、ストリームから本来のexeを読み込みます。この方法で感染した場合、STRストリームは必ずしもいつも作成されません。改変の加えられたファイルの中身を復元することは出来ません。

TOPへ戻る

駆除方法

・定義ファイル4287で検出されます。

・また指定されたエンジンバージョン以降が必要です。

手動による駆除方法

  1. ・Win9x/ME:「セーフモード」(ウィンドウズテキスト表示中にF8キーを押し、Safe Modeを選択)でシステムを再起動します。
    ・WinNT/2K/XP:以下のプロセスを終了します。
    • LOAD32.EXE
    • VXDMGR32.EXE
    • DLLREG.EXE
  2. ウィンドウズディレクトリから以下のファイルを削除します。(通常はc:\windows または c:\winnt)
    • %WinDir%\DLLREG.EXE
    • %SysDir%\LOAD32.EXE
    • %SysDir%\VXDMGR32.EXE
  3. レジストリを編集します。
    • 以下の場所から'Load32'の値を削除。
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • 以下のkey中の"Run"の値を"C:\WINDOWS\DLLREG.EXE"から""へと編集する。
      • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    • 以下のkey中の"Shell"の値を"explorer.exe %sysdir%\vxdmgr32.exe"から"explorer.exe"へと編集する。
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Windows ME/XPでの駆除についての補足

TOPへ戻る