--2004年1月31日更新情報--
・感染が減少傾向にあるため、危険度を「低:要注意」に下げました。
--2004年1月26日更新情報--
・感染が広がっているため、危険度を「中」に引き上げました。
--2004年1月25日更新情報--
・W32/Dumaru.y@MMの新しい亜種の報告を受け取りました。W32/Dumaru.y@MMとW32/Dumaru.z@MM に対応するExtra.datをアップデートしました。
・W32/Dumaru.z@MMはW32/Dumaru.y@MMと酷似しています。主な違いは以下のとおり。
- ファイルサイズ:約14,550バイト
- ファイルダウンロード:この亜種はリモートファイル(ウイルス内に決め打ちされたURL)のダウンロードを試みます。リモートファイルは変わる可能性がありますが、この文章が書かれた時点では、このファイルはW32/Spybot.wormの亜種です。この亜種はディスクに%SysDir%\NVIDIA32.EXEとして書き込まれます。この亜種は4288以上のウイルス定義ファイルでW32/Spybot.worm.gen として検出されます。
・メールメッセージの構成はW32/Dumaru.y@MMと同じです。
--2004年1月24日更新情報--
・W32/Dumaru.y@MMは以下のメディアの注目を集めたので、危険度を“低[要注意]”に引き上げました。
・W32/Dumaru.y@MMはW32/Dumaru@MMの新しい亜種で、これまでに発見された亜種(例:W32/Dumaru.j@MM)に似ています。
・このワームの特徴は、以下の通りです。
- メッセージを作成するために自身のSMTPエンジンを内蔵
- ローカルマシンから送信先の電子メールアドレスを収集
・さらに初期の分析では、W32/Dumaru.y@MMはターゲットマシンからデータ(特定のアプリケーションのパスワード、キーロガーデータなど)を詐取するように作成されていると考えられます。ハッカーからのリモートコマンドを介して、データ詐取を開始する可能性があります。この機能については分析中です。分析終了後、情報を更新します。
電子メールを介した繁殖
・W32/Dumaru.y@MMは、自身のSMTPエンジンを使用して送信メッセージを作成します。送信先の電子メールアドレスは、ターゲットマシンから収集します。以下の拡張子を持つファイルを検索します。
- .HTM
- .WAB
- .HTML
- .DBX
- .TBB
- .ABD
・このウイルスはZIPファイルの状態で送信されます。ZIPファイルは以下のような名前でウイルスを持ちます。
- MYPHOTO.JPG. (多数のスペース) .EXE
・以下のようなメッセージを作成します。
件名:Important information for you.Read it immediately !
添付ファイル:MYPHOTO.ZIP
本文:
Hi!
Here is my photo, that you asked for yesterday.
例:(ターゲットとなったメールアドレスは削除)
データ詐取
・W32/Dumaru.y@MMは、ターゲットマシンからデータを詐取するように作成されています。キーロギング機能は特定のブラウザセッション(オンラインバンキング関連)中のキー入力の取得を目的としています。ログデータは、ワームは特にe-gold.com ユーザーをターゲットとしています。ログデータはVXDLOAD.LOGファイルに書き込まれます。
・クリップボードコンテンツも同様に狙われます。コンテンツはRUNDLLX.SYSファイルに書き込まれます。
・これらのログコンテンツは、ウイルス内に決め打ちされたメールアドレスを利用してハッカーに送信されます。
リモートアクセス
・ウイルスはリモートハッカーがウイルスへの指示(例えばFTPコマンド)を発行することを許可するために、TCPポート2283と10000を聴取します。
・
