ウイルス情報

ウイルス名 危険度

W32/Gibe.b@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4250
対応定義ファイル
(現在必要とされるバージョン)
4250 (現在7652)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Gibe.b (AVP):W32/Gibe-D (Sophos)
情報掲載日 03/02/26
発見日(米国日付) 03/02/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・定義ファイル4168〜4249を使用し、プログラムヒューリスティックスキャンを有効にすると“New Worm”(特定のワーム名ではなく、ワームの総称です)として検出されます。

・このワーム(W32/Gibe@MMの新しい亜種)はVisual Basicで作成されており、以下のチャネルで繁殖します。

  1. 大量メール送信(送信メッセージは、Microsoft Security Updateを装います。)
  2. ネットワーク共有(マップ済みドライブのstartupフォルダにWEBLOADER.EXEというファイル名で自身をコピーします。)
  3. IRC(SCRIPT.INIファイルを落とし込みます。)

・ワームの文字列をみると、KaZaaファイル共有ネットワークおよびニュースグループへの投稿でも繁殖するようです。分析終了後に情報を更新します。

大量メール送信による繁殖

・W32/Gibe.b@MMは、Outlookのアドレス帳(コンタクトリスト)およびWindowsのアドレス帳(WAB)にあるすべての電子メールアドレスに自身を送信します。また、インターネット一時ファイルからも電子メールアドレスを収集します(収集したアドレスは、%WINDIR%\MSERR.BAKファイルに書き込まれます)。

・Outlookおよび自身のSMTPエンジンを使用して、Microsoft Security Updateを装う送信メッセージを作成します。送信メッセージの件名はさまざまで、件名の前に“FW:”“FWD:”または“RE:”がつく場合と、つかない場合があります。

件名の例:

  • FWD: Prove these security update from Microsoft
  • Re: Look at this patch from Microsoft
  • Take a look at this patch from M$ Corporation
  • ・添付ファイル名も“UPDATE$$$.EXE”または“PATCH$$$.EXE”($$$は、ランダムな3桁の数字)とさまざまです。

    添付ファイル名の例:

  • PATCH107.EXE
  • UPDATE989.EXE
  • UPDATE802.EXE
  • ・ワーム内の文字列をみると、自身のSMTPエンジンを使用して送信メッセージを作成する時に、(パッチを適用していないシステムで)電子メールメッセージをプレビュー表示すると自身を実行するようにInternet Explorerの2つの脆弱性(IFRAMEおよび不適切なMIMEヘッダの脆弱性)を悪用するようです。これらの脆弱性に関する詳細情報およびパッチについては、Microsoft Security Bulletin (MS01-020)をご覧ください。

    送信される電子メールメッセージの例:

    件名: Look at the patch from M$ Corporation
    添付ファイル: UPDATE989.EXE (155,648バイト)
    本文:

    ネットワーク共有を介した繁殖

    ・W32/Gibe.b@MMは、マップ済みのネットワークドライブのstartupフォルダに自身のコピーを作成します。ハードコード化された一連の文字列を使用してこれらのフォルダへのパスを多数作成し、フォルダが存在する場合はWEBLOADER.EXEというファイル名で自身をコピーします。リモートパスは、以下のコンポーネントで構成されています。

    1. Windows, WinMe, Win95 or Win98
    2. \All Users
    3. \Start menu\Programs\Startup
    4. \Documents and Settings\
    5. \Winnt\Profiles
    6. All Users
    7. Default User
    8. Administrator

    リモートパスの例:

  • R:\Documents and Settings\All Users\Start Menu\Programs\Startup
  • R:\Windows\Start Menu\Programs\Startup
  • R:\Win95\All Users\Start Menu\Programs\Startup
  • IRCを介した繁殖

    ・W32/Gibe.b@MMは、mIRCクライアントの次回起動時にIRCチャネルを介して繁殖するようにSCRIPT.INIファイルを落とし込みます。SCRIPT.INIファイルは、定義ファイル4164以降で“MIRC/Generic”として検出されます。

    ・IRCでは、以下のいずれかのファイル名で繁殖します。

  • IEPatch.exe
  • KaZaA upload.exe
  • Porn.exe
  • Sex.exe
  • XboX Emulator.exe
  • PS2 Emulator.exe
  • XP update.exe
  • XXX Video.exe
  • Sick Joke.exe
  • Free XXX Pictures.exe
  • My naked sister.exe
  • Hallucinogenic Screensaver.exe
  • Cooking with Cannabis.exe
  • Magic Mushrooms Growing.exe
  • I-Worm_Give Cleaner.exe
  • TOPへ戻る

    以下の症状が見られる場合、このウイルスに感染している可能性があります。

    ・%WinDir%:ディレクトリに以下のファイルが存在します。

  • DX3DRndr.exe (73,728バイト)
  • gibe.dll (155,648バイト)
  • MSBugAdv.exe (24,576バイト)
  • Update.exe (155,648バイト)
  • WMSysDx.bin (3,691バイト)
  • ・以下のレジストリキーが存在します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Messenger Setup

  • "Coded" = ... by Begbie

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • "DxLoad" = C:\WINNT\DX3DRndr.exe

    TOPへ戻る

    感染方法

    ・W32/Gibe.b@MMがターゲットマシンで実行されると、ローカルディスクに何度も自身をコピーします。

    ・以下のファイルを落とし込みます

  • DX3DRndr.exe (73,728バイト):メールコンポーネント
  • gibe.dll (155,648バイト):ワームのコピー
  • MSBugAdv.exe (24,576バイト):電子メールアドレスの収集、マイクロソフト社の“Contact Us”ページを取得/表示
  • Update.exe、またはUpdate989.exe (155,648バイト):ワームのコピー
  • WMSysDx.bin (3,691バイト):リモートサーバの一覧を含むテキストファイル
  • ・system tempフォルダに以下のいずれかのファイル名で自身をコピーします(このコピーは、IRCで共有されます)。

  • IEPatch.exe
  • KaZaA upload.exe
  • Porn.exe
  • Sex.exe
  • XboX Emulator.exe
  • PS2 Emulator.exe
  • XP update.exe
  • XXX Video.exe
  • Sick Joke.exe
  • Free XXX Pictures.exe
  • My naked sister.exe
  • Hallucinogenic Screensaver.exe
  • Cooking with Cannabis.exe
  • Magic Mushrooms Growing.exe
  • I-Worm_Give Cleaner.exe
  • ・次のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • "DxLoad" = C:\WINNT\DX3DRndr.exe

    ・次のレジストリキーを追加して、さまざまな設定を格納します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Messenger Setup
  • TOPへ戻る