製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lamud.worm
企業ユーザ:
個人ユーザ:
種別ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4274
対応定義ファイル
(現在必要とされるバージョン)
4274 (現在7401)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/06/30
発見日(米国日付)03/06/26
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Lamud.wormは、開いているネットワーク共有で繁殖する新しいワームです。ローカルネットワーク内のコンピュータにアクセスして、startupフォルダに自身をコピーします。

・このワームが実行されると、Explorerウインドウを開いて%Windir%フォルダを表示します。数秒後、デスクトップの壁紙に設定されるポルノ画像を表示します。“REGEDIT.EXE”などの管理ツールとデスクトップ設定の設定ダイアログへのアクセスを不能にします。

共有ネットワークによる繁殖

・現在のユーザのログオン認証でローカルネットワーク内のマシンにアクセスします。開いている共有を検索して、以下のファイル名で自身をコピーします。

  • DOWNLOADS.EXE
  • GAMES.EXE
  • IMAGES.EXE
  • MUSIC.EXE
  • MY DOCUMENTS.EXE
  • NEW.EXE
  • PICTURES.EXE
  • PORNO.EXE
  • VIDEO.EXE
  • XXX.EXE

・また、すべてのアクセス可能な共有のルートと以下のフォルダに自身をコピーします。上記のファイル名のいずれかを使用します。

  • My Documents\
  • Windows\
  • Windows\Desktop\
  • Windows\Start Menu\Programs\Startup\
  • Win98\
  • Win98\Desktop\
  • Win98\Start Menu\Programs\Startup\
  • Win98SE\
  • Win98SE\Desktop\
  • Win98SE\Start Menu\Programs\Startup\
  • Win95\
  • Win95\Desktop\
  • Win95\Start Menu\Programs\Startup\
  • WinNT\
  • Win2k\
  • Win2000\
  • WinXP\
  • Distr\
  • Distry\
  • Distri\
  • Distryb\
  • Distrib\
  • Documents and Settings\All Users\Desktop\
  • Documents and Settings\All Users\Start Menu\Programs\Startup\
  • Documents and Settings\All Users\Shared documents\
  • Documents and Settings\All Users\Favorites\
  • Documents and Settings\Default User\Desktop\
  • Documents and Settings\Default User\Start Menu\Programs\Startup\
  • Documents and Settings\Default User\Shared documents\
  • Documents and Settings\Default User\Favorites\
  • Inetpub\ftproot\

・ワームのコピーは以下のようなフォルダアイコンを使用し、疑いを持たないユーザを騙してフォルダと勘違いさせます。

注:ワームのコピーはターゲットマシンに落とし込まれるだけで、自動的には実行しません。Startupフォルダにコピーされると、次回のシステム起動時にワームが起動します。

・ワームが起動すると、%WINDIR%フォルダに以下の3つのファイルを落とし込みます。

  • davcsync.exe(25,088バイト)
  • lmdll.dll(11,264バイト)
  • msinst26.exe(529,336バイト)

・以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice "Asynchronous" ata: 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice "DLLName" Data: lmdll.dll
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice "Impersonate" Data: 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice "Logon" Data: LoadLMDService
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice "Startup" Data: LoadLMDService
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "Perfomance Monitor" Data: davcsync.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Explorer\Advanced\Folder\Hidden\SHOWALL
    "CheckedValue" Data: 00, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    System "DisableRegistryTools" Data: 01, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\System "NoDispCPL" Data: 01, 00, 00, 00
  • HKEY_CURRENT_USER\Control Panel\Desktop "LMDWallpaper"
    Data: %WINDIR%\ACD Wallpaper.bmp

・%WINDIR%フォルダにACD Wallpaper.bmpという名前のビットマップファイルも落とし込みます。このファイルの画像は、数分ごとに変わります。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のレジストリキーとファイルが存在します。

・予期せず、ネットワークトラフィックが発生します(リモート共有へワームをコピーします)。

感染方法TOPへ戻る
・感染したファイルがダブルクリックされるとワームが起動し、開いている共有で繁殖します。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

定義ファイルを使うと以下のレジストリキーとサブバリューを削除することができます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lmdservice
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "Perfomance Monitor"

また、落とし込まれた'ACD Wallpaper.bmp'ファイルを削除し、デスクトップの背景を元に戻してください。