製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:G
ウイルス情報
ウイルス名危険度
W32/Grum
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4989
対応定義ファイル
(現在必要とされるバージョン)
4998 (現在7537)
対応エンジン4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Grum.A (Symantec)
情報掲載日2007/04/04
発見日(米国日付)2007/03/21
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/20RDN/Download...
08/20W32/Agent!55...
08/20W32/Agent!09...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7537
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Grumはインストール時にユーザモードルートキットも一緒にインストールするファイル感染ウイルスです。ルートキットはNtdll.dllにインラインフックを作成して、不正な処理を隠し、他のツールが正常に動作しないようにします。W32/Grumはスパムを介して拡散し、IE7.0.exeという偽のInternet Explorer 7.0のベータ版のダウンロードでユーザを誘い込みます。McAfee AVERTでは現在、W32/Grumを分析中です。詳細が判明次第、掲載します。

ウイルスの特徴TOPに戻る
-- 2007年3月30日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.infoworld.com/article/07/03/30/HNnewvirusdisguised_1.html

・以下の説明は上記の記事で取り上げられた亜種に基づいています。

--

・W32/GrumはVMwareを認識し、仮想環境では動作しません。

・実行に成功すると、%temp%\winlogon.exeに自身をコピーします。ルートキット分析ツールが正常に初期化されないよう、システムからデバッグ特権を削除します。

再起動時に自動的に再始動するため、以下のレジストリキーを作成します。
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: Firewall auto setup (value) - %temp%\winlogon.exe

・アップデートなどのネットワーク活動を行うため、72.232.49.214にアクセスする可能性があります。

ルートキットについて

・W32/Grumはntdll.dllに以下のAPIへのインラインフックを作成して、不正な処理を隠し、他のツールが正常に動作しないようにします。この亜種にはバグがあり、Windows 2000では正常に動作しないため、システムが停止する場合があります。なお、Windows XPでは正しくフックを作成することが確認されています。

  • ZwCreateThread
  • ZwQueryDirectoryFile
  • ZwQuerySystemInformation
  • ZwResumeThread
ファイル感染ルーチン

・W32/Grumは以下のキーにある実行ファイルにのみ感染する傾向があります。

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:

・元のファイルに.rgnという拡張子を付けて保存します。DLL、テキストファイルなど、実行ファイル以外のファイルには感染しませんが、同じく.rgnの拡張子を使用して、バックアップコピーを作成します。

感染したファイルは現行のウイルス定義ファイルでW32/Grumまたはその亜種として検出されます。ベータ版のウイルス定義ファイルではW32/Grum.a!infという名前で検出されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のレジストリキーが存在します。
  • IP 72.232.49.214に関係したネットワーク活動が行われます。
  • .RGNファイルが見られます。

感染方法TOPへ戻る

・報告によれば、W32/Grumは以下のスパムを介して拡散します。画像をクリックすると、hxxp://arrest[非表示].comからIE7.0.exeという名前のファイルがダウンロードされます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

ワームが実行中の際は、このトロイの木馬を検索、駆除する前に、コンピュータをセーフモードで再起動する必要があります。

手動による駆除方法

  • Windowsをセーフモードで再起動します。
  • 上に記載されたレジストリキーを削除します。
  • 上に記載されたファイルを削除します。
  • コンピュータを再起動します。