製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:D
ウイルス情報
ウイルス名危険度
W32/Dumaru.y@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4318
対応定義ファイル
(現在必要とされるバージョン)
4364 (現在7565)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名W32/Dumaru.z@MM
情報掲載日04/01/26
発見日(米国日付)04/01/24
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--2004年1月31日更新情報--

・感染が減少傾向にあるため、危険度を「低:要注意」に下げました。

--2004年1月26日更新情報--

・感染が広がっているため、危険度を「中」に引き上げました。

--2004年1月25日更新情報--

・W32/Dumaru.y@MMの新しい亜種の報告を受け取りました。W32/Dumaru.y@MMとW32/Dumaru.z@MM に対応するExtra.datをアップデートしました。

・W32/Dumaru.z@MMはW32/Dumaru.y@MMと酷似しています。主な違いは以下のとおり。

  • ファイルサイズ:約14,550バイト
  • ファイルダウンロード:この亜種はリモートファイル(ウイルス内に決め打ちされたURL)のダウンロードを試みます。リモートファイルは変わる可能性がありますが、この文章が書かれた時点では、このファイルはW32/Spybot.wormの亜種です。この亜種はディスクに%SysDir%\NVIDIA32.EXEとして書き込まれます。この亜種は4288以上のウイルス定義ファイルでW32/Spybot.worm.gen として検出されます。

・メールメッセージの構成はW32/Dumaru.y@MMと同じです。

--2004年1月24日更新情報--

・W32/Dumaru.y@MMは以下のメディアの注目を集めたので、危険度を“低[要注意]”に引き上げました。

・W32/Dumaru.y@MMはW32/Dumaru@MMの新しい亜種で、これまでに発見された亜種(例:W32/Dumaru.j@MM)に似ています。

・このワームの特徴は、以下の通りです。

  • メッセージを作成するために自身のSMTPエンジンを内蔵
  • ローカルマシンから送信先の電子メールアドレスを収集

・さらに初期の分析では、W32/Dumaru.y@MMはターゲットマシンからデータ(特定のアプリケーションのパスワード、キーロガーデータなど)を詐取するように作成されていると考えられます。ハッカーからのリモートコマンドを介して、データ詐取を開始する可能性があります。この機能については分析中です。分析終了後、情報を更新します。

電子メールを介した繁殖

・W32/Dumaru.y@MMは、自身のSMTPエンジンを使用して送信メッセージを作成します。送信先の電子メールアドレスは、ターゲットマシンから収集します。以下の拡張子を持つファイルを検索します。

  • .HTM
  • .WAB
  • .HTML
  • .DBX
  • .TBB
  • .ABD

・このウイルスはZIPファイルの状態で送信されます。ZIPファイルは以下のような名前でウイルスを持ちます。

  • MYPHOTO.JPG. (多数のスペース) .EXE

・以下のようなメッセージを作成します。

件名:Important information for you.Read it immediately !
添付ファイル:MYPHOTO.ZIP
本文:
Hi!
Here is my photo, that you asked for yesterday.

例:(ターゲットとなったメールアドレスは削除)

データ詐取

・W32/Dumaru.y@MMは、ターゲットマシンからデータを詐取するように作成されています。キーロギング機能は特定のブラウザセッション(オンラインバンキング関連)中のキー入力の取得を目的としています。ログデータは、ワームは特にe-gold.com ユーザーをターゲットとしています。ログデータはVXDLOAD.LOGファイルに書き込まれます。

・クリップボードコンテンツも同様に狙われます。コンテンツはRUNDLLX.SYSファイルに書き込まれます。

・これらのログコンテンツは、ウイルス内に決め打ちされたメールアドレスを利用してハッカーに送信されます。

リモートアクセス

・ウイルスはリモートハッカーがウイルスへの指示(例えばFTPコマンド)を発行することを許可するために、TCPポート2283と10000を聴取します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・以下のレジストリキーが存在します。
  • HKEY_LOCAL_MACHINE\Software\SARS

・「感染方法」に記載されているファイルやレジストリキーが存在します。

感染方法TOPへ戻る
・W32/Dumaru.y@MMが実行されると、ターゲットマシンに自身のコピーを複数作成します。
  • %WinDir%\RUNDLLX.SYS (17,370バイト)
  • %SysDir%\L32X.EXE (17,370バイト)
  • %SysDir%\VXD32V.EXE (17,370バイト)

%WinDir%は、Windowsディレクトリ(例:C:\WINNT)です。%SysDir%は、Windows Systemディレクトリ(例:C:\WINNT\SYSTEM32)です。

・Windows startupフォルダにもDLLXW.EXEというファイル名でコピーをドロップ(作成)します。

例:

  • c:\Documents and Settings\user2\Start Menu\Programs\Startup\dllxw.exe

・Windows 9x/NTシステムでは、以下のレジストリフックを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "load32" = %SysDir%\L32X.EXE

・Windows NT/2000システムでは、以下のキーを改変します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon "Shell"

改変前:
Explorer.exe

改変後:
explorer.exe %SysDir%\VXD32V.EXE

・WIN.INIファイル、およびSYSTEM.INI systemファイルも改変して、システムの起動をフックします。WIN.INIファイルに以下のエントリを追加します。

[windows]
"run" = %WinDir%\RUNDLLX.SYS

・SYSTEM.INIファイルでは、以下のキーを改変します。

[boot]
"shell" = Explorer.exe is modified to:"shell" = explorer.exe %SysDir%\VXD32V.EXE

・これまで発見された亜種と異なり、寄生して感染するコンポーネント(NTFSストリームを使用)はありません。

駆除方法TOPへ戻る

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

亜種
名前タイプサブタイプ
W32/Dumaru.z@MMインターネットワームE-mail