ウイルス情報

ウイルス名 危険度

W32/Grum

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4989
対応定義ファイル
(現在必要とされるバージョン)
4998 (現在7656)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Grum.A (Symantec)
情報掲載日 2007/04/04
発見日(米国日付) 2007/03/21
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Grumはインストール時にユーザモードルートキットも一緒にインストールするファイル感染ウイルスです。ルートキットはNtdll.dllにインラインフックを作成して、不正な処理を隠し、他のツールが正常に動作しないようにします。W32/Grumはスパムを介して拡散し、IE7.0.exeという偽のInternet Explorer 7.0のベータ版のダウンロードでユーザを誘い込みます。McAfee AVERTでは現在、W32/Grumを分析中です。詳細が判明次第、掲載します。

TOPへ戻る

ウイルスの特徴

-- 2007年3月30日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.infoworld.com/article/07/03/30/HNnewvirusdisguised_1.html

・以下の説明は上記の記事で取り上げられた亜種に基づいています。

--

・W32/GrumはVMwareを認識し、仮想環境では動作しません。

・実行に成功すると、%temp%\winlogon.exeに自身をコピーします。ルートキット分析ツールが正常に初期化されないよう、システムからデバッグ特権を削除します。

再起動時に自動的に再始動するため、以下のレジストリキーを作成します。
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: Firewall auto setup (value) - %temp%\winlogon.exe

・アップデートなどのネットワーク活動を行うため、72.232.49.214にアクセスする可能性があります。

ルートキットについて

・W32/Grumはntdll.dllに以下のAPIへのインラインフックを作成して、不正な処理を隠し、他のツールが正常に動作しないようにします。この亜種にはバグがあり、Windows 2000では正常に動作しないため、システムが停止する場合があります。なお、Windows XPでは正しくフックを作成することが確認されています。

  • ZwCreateThread
  • ZwQueryDirectoryFile
  • ZwQuerySystemInformation
  • ZwResumeThread
ファイル感染ルーチン

・W32/Grumは以下のキーにある実行ファイルにのみ感染する傾向があります。

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:

・元のファイルに.rgnという拡張子を付けて保存します。DLL、テキストファイルなど、実行ファイル以外のファイルには感染しませんが、同じく.rgnの拡張子を使用して、バックアップコピーを作成します。

感染したファイルは現行のウイルス定義ファイルでW32/Grumまたはその亜種として検出されます。ベータ版のウイルス定義ファイルではW32/Grum.a!infという名前で検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のレジストリキーが存在します。
  • IP 72.232.49.214に関係したネットワーク活動が行われます。
  • .RGNファイルが見られます。

TOPへ戻る

感染方法

・報告によれば、W32/Grumは以下のスパムを介して拡散します。画像をクリックすると、hxxp://arrest[非表示].comからIE7.0.exeという名前のファイルがダウンロードされます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

ワームが実行中の際は、このトロイの木馬を検索、駆除する前に、コンピュータをセーフモードで再起動する必要があります。

手動による駆除方法

  • Windowsをセーフモードで再起動します。
  • 上に記載されたレジストリキーを削除します。
  • 上に記載されたファイルを削除します。
  • コンピュータを再起動します。

TOPへ戻る