|
|
ウイルス情報 |
| ウイルスの特徴 | TOPに戻る | |
・W32/Lamud.wormは、開いているネットワーク共有で繁殖する新しいワームです。ローカルネットワーク内のコンピュータにアクセスして、startupフォルダに自身をコピーします。
・このワームが実行されると、Explorerウインドウを開いて%Windir%フォルダを表示します。数秒後、デスクトップの壁紙に設定されるポルノ画像を表示します。“REGEDIT.EXE”などの管理ツールとデスクトップ設定の設定ダイアログへのアクセスを不能にします。
共有ネットワークによる繁殖
・現在のユーザのログオン認証でローカルネットワーク内のマシンにアクセスします。開いている共有を検索して、以下のファイル名で自身をコピーします。
- DOWNLOADS.EXE
- GAMES.EXE
- IMAGES.EXE
- MUSIC.EXE
- MY DOCUMENTS.EXE
- NEW.EXE
- PICTURES.EXE
- PORNO.EXE
- VIDEO.EXE
- XXX.EXE
・また、すべてのアクセス可能な共有のルートと以下のフォルダに自身をコピーします。上記のファイル名のいずれかを使用します。
- My Documents\
- Windows\
- Windows\Desktop\
- Windows\Start Menu\Programs\Startup\
- Win98\
- Win98\Desktop\
- Win98\Start Menu\Programs\Startup\
- Win98SE\
- Win98SE\Desktop\
- Win98SE\Start Menu\Programs\Startup\
- Win95\
- Win95\Desktop\
- Win95\Start Menu\Programs\Startup\
- WinNT\
- Win2k\
- Win2000\
- WinXP\
- Distr\
- Distry\
- Distri\
- Distryb\
- Distrib\
- Documents and Settings\All Users\Desktop\
- Documents and Settings\All Users\Start Menu\Programs\Startup\
- Documents and Settings\All Users\Shared documents\
- Documents and Settings\All Users\Favorites\
- Documents and Settings\Default User\Desktop\
- Documents and Settings\Default User\Start Menu\Programs\Startup\
- Documents and Settings\Default User\Shared documents\
- Documents and Settings\Default User\Favorites\
- Inetpub\ftproot\
・ワームのコピーは以下のようなフォルダアイコンを使用し、疑いを持たないユーザを騙してフォルダと勘違いさせます。
注:ワームのコピーはターゲットマシンに落とし込まれるだけで、自動的には実行しません。Startupフォルダにコピーされると、次回のシステム起動時にワームが起動します。
・ワームが起動すると、%WINDIR%フォルダに以下の3つのファイルを落とし込みます。
- davcsync.exe(25,088バイト)
- lmdll.dll(11,264バイト)
- msinst26.exe(529,336バイト)
・以下のレジストリキーを作成します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\lmdservice
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\lmdservice "Asynchronous" ata: 01, 00, 00, 00
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\lmdservice "DLLName" Data: lmdll.dll
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\lmdservice "Impersonate" Data: 01, 00, 00, 00
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\lmdservice "Logon" Data: LoadLMDService
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\lmdservice "Startup" Data: LoadLMDService
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "Perfomance Monitor" Data: davcsync.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" Data: 00, 00, 00, 00
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System "DisableRegistryTools" Data: 01, 00, 00, 00
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System "NoDispCPL" Data: 01, 00, 00, 00
- HKEY_CURRENT_USER\Control Panel\Desktop "LMDWallpaper"
Data: %WINDIR%\ACD Wallpaper.bmp
・%WINDIR%フォルダにACD Wallpaper.bmpという名前のビットマップファイルも落とし込みます。このファイルの画像は、数分ごとに変わります。
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る | |
・上記のレジストリキーとファイルが存在します。
・予期せず、ネットワークトラフィックが発生します(リモート共有へワームをコピーします)。
|
|
| 感染方法 | TOPへ戻る | |
・感染したファイルがダブルクリックされるとワームが起動し、開いている共有で繁殖します。
|
|
| 駆除方法 | TOPへ戻る | | ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 Windows ME/XPでの駆除についての補足
定義ファイルを使うと以下のレジストリキーとサブバリューを削除することができます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lmdservice
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "Perfomance Monitor"
また、落とし込まれた'ACD Wallpaper.bmp'ファイルを削除し、デスクトップの背景を元に戻してください。
|
|
|
|
|  |
