ウイルス情報

ウイルス名 危険度

W32/Dumaru.y@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4318
対応定義ファイル
(現在必要とされるバージョン)
4364 (現在7628)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32/Dumaru.z@MM
情報掲載日 04/01/26
発見日(米国日付) 04/01/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

--2004年1月31日更新情報--

・感染が減少傾向にあるため、危険度を「低:要注意」に下げました。

--2004年1月26日更新情報--

・感染が広がっているため、危険度を「中」に引き上げました。

--2004年1月25日更新情報--

・W32/Dumaru.y@MMの新しい亜種の報告を受け取りました。W32/Dumaru.y@MMとW32/Dumaru.z@MM に対応するExtra.datをアップデートしました。

・W32/Dumaru.z@MMはW32/Dumaru.y@MMと酷似しています。主な違いは以下のとおり。

  • ファイルサイズ:約14,550バイト
  • ファイルダウンロード:この亜種はリモートファイル(ウイルス内に決め打ちされたURL)のダウンロードを試みます。リモートファイルは変わる可能性がありますが、この文章が書かれた時点では、このファイルはW32/Spybot.wormの亜種です。この亜種はディスクに%SysDir%\NVIDIA32.EXEとして書き込まれます。この亜種は4288以上のウイルス定義ファイルでW32/Spybot.worm.gen として検出されます。

・メールメッセージの構成はW32/Dumaru.y@MMと同じです。

--2004年1月24日更新情報--

・W32/Dumaru.y@MMは以下のメディアの注目を集めたので、危険度を“低[要注意]”に引き上げました。

・W32/Dumaru.y@MMはW32/Dumaru@MMの新しい亜種で、これまでに発見された亜種(例:W32/Dumaru.j@MM)に似ています。

・このワームの特徴は、以下の通りです。

  • メッセージを作成するために自身のSMTPエンジンを内蔵
  • ローカルマシンから送信先の電子メールアドレスを収集

・さらに初期の分析では、W32/Dumaru.y@MMはターゲットマシンからデータ(特定のアプリケーションのパスワード、キーロガーデータなど)を詐取するように作成されていると考えられます。ハッカーからのリモートコマンドを介して、データ詐取を開始する可能性があります。この機能については分析中です。分析終了後、情報を更新します。

電子メールを介した繁殖

・W32/Dumaru.y@MMは、自身のSMTPエンジンを使用して送信メッセージを作成します。送信先の電子メールアドレスは、ターゲットマシンから収集します。以下の拡張子を持つファイルを検索します。

  • .HTM
  • .WAB
  • .HTML
  • .DBX
  • .TBB
  • .ABD

・このウイルスはZIPファイルの状態で送信されます。ZIPファイルは以下のような名前でウイルスを持ちます。

  • MYPHOTO.JPG. (多数のスペース) .EXE

・以下のようなメッセージを作成します。

件名:Important information for you.Read it immediately !
添付ファイル:MYPHOTO.ZIP
本文:
Hi!
Here is my photo, that you asked for yesterday.

例:(ターゲットとなったメールアドレスは削除)

データ詐取

・W32/Dumaru.y@MMは、ターゲットマシンからデータを詐取するように作成されています。キーロギング機能は特定のブラウザセッション(オンラインバンキング関連)中のキー入力の取得を目的としています。ログデータは、ワームは特にe-gold.com ユーザーをターゲットとしています。ログデータはVXDLOAD.LOGファイルに書き込まれます。

・クリップボードコンテンツも同様に狙われます。コンテンツはRUNDLLX.SYSファイルに書き込まれます。

・これらのログコンテンツは、ウイルス内に決め打ちされたメールアドレスを利用してハッカーに送信されます。

リモートアクセス

・ウイルスはリモートハッカーがウイルスへの指示(例えばFTPコマンド)を発行することを許可するために、TCPポート2283と10000を聴取します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・以下のレジストリキーが存在します。
  • HKEY_LOCAL_MACHINE\Software\SARS

・「感染方法」に記載されているファイルやレジストリキーが存在します。

TOPへ戻る

感染方法

・W32/Dumaru.y@MMが実行されると、ターゲットマシンに自身のコピーを複数作成します。
  • %WinDir%\RUNDLLX.SYS (17,370バイト)
  • %SysDir%\L32X.EXE (17,370バイト)
  • %SysDir%\VXD32V.EXE (17,370バイト)

%WinDir%は、Windowsディレクトリ(例:C:\WINNT)です。%SysDir%は、Windows Systemディレクトリ(例:C:\WINNT\SYSTEM32)です。

・Windows startupフォルダにもDLLXW.EXEというファイル名でコピーをドロップ(作成)します。

例:

  • c:\Documents and Settings\user2\Start Menu\Programs\Startup\dllxw.exe

・Windows 9x/NTシステムでは、以下のレジストリフックを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "load32" = %SysDir%\L32X.EXE

・Windows NT/2000システムでは、以下のキーを改変します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon "Shell"

改変前:
Explorer.exe

改変後:
explorer.exe %SysDir%\VXD32V.EXE

・WIN.INIファイル、およびSYSTEM.INI systemファイルも改変して、システムの起動をフックします。WIN.INIファイルに以下のエントリを追加します。

[windows]
"run" = %WinDir%\RUNDLLX.SYS

・SYSTEM.INIファイルでは、以下のキーを改変します。

[boot]
"shell" = Explorer.exe is modified to:"shell" = explorer.exe %SysDir%\VXD32V.EXE

・これまで発見された亜種と異なり、寄生して感染するコンポーネント(NTFSストリームを使用)はありません。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る

亜種

名前タイプサブタイプ
W32/Dumaru.z@MMインターネットワームE-mail