ウイルス情報

ウイルス名 危険度

W32/Lamud.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4274
対応定義ファイル
(現在必要とされるバージョン)
4274 (現在7628)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/06/30
発見日(米国日付) 03/06/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Lamud.wormは、開いているネットワーク共有で繁殖する新しいワームです。ローカルネットワーク内のコンピュータにアクセスして、startupフォルダに自身をコピーします。

・このワームが実行されると、Explorerウインドウを開いて%Windir%フォルダを表示します。数秒後、デスクトップの壁紙に設定されるポルノ画像を表示します。“REGEDIT.EXE”などの管理ツールとデスクトップ設定の設定ダイアログへのアクセスを不能にします。

共有ネットワークによる繁殖

・現在のユーザのログオン認証でローカルネットワーク内のマシンにアクセスします。開いている共有を検索して、以下のファイル名で自身をコピーします。

  • DOWNLOADS.EXE
  • GAMES.EXE
  • IMAGES.EXE
  • MUSIC.EXE
  • MY DOCUMENTS.EXE
  • NEW.EXE
  • PICTURES.EXE
  • PORNO.EXE
  • VIDEO.EXE
  • XXX.EXE

・また、すべてのアクセス可能な共有のルートと以下のフォルダに自身をコピーします。上記のファイル名のいずれかを使用します。

  • My Documents\
  • Windows\
  • Windows\Desktop\
  • Windows\Start Menu\Programs\Startup\
  • Win98\
  • Win98\Desktop\
  • Win98\Start Menu\Programs\Startup\
  • Win98SE\
  • Win98SE\Desktop\
  • Win98SE\Start Menu\Programs\Startup\
  • Win95\
  • Win95\Desktop\
  • Win95\Start Menu\Programs\Startup\
  • WinNT\
  • Win2k\
  • Win2000\
  • WinXP\
  • Distr\
  • Distry\
  • Distri\
  • Distryb\
  • Distrib\
  • Documents and Settings\All Users\Desktop\
  • Documents and Settings\All Users\Start Menu\Programs\Startup\
  • Documents and Settings\All Users\Shared documents\
  • Documents and Settings\All Users\Favorites\
  • Documents and Settings\Default User\Desktop\
  • Documents and Settings\Default User\Start Menu\Programs\Startup\
  • Documents and Settings\Default User\Shared documents\
  • Documents and Settings\Default User\Favorites\
  • Inetpub\ftproot\

・ワームのコピーは以下のようなフォルダアイコンを使用し、疑いを持たないユーザを騙してフォルダと勘違いさせます。

注:ワームのコピーはターゲットマシンに落とし込まれるだけで、自動的には実行しません。Startupフォルダにコピーされると、次回のシステム起動時にワームが起動します。

・ワームが起動すると、%WINDIR%フォルダに以下の3つのファイルを落とし込みます。

  • davcsync.exe(25,088バイト)
  • lmdll.dll(11,264バイト)
  • msinst26.exe(529,336バイト)

・以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice "Asynchronous" ata: 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice "DLLName" Data: lmdll.dll
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice "Impersonate" Data: 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice "Logon" Data: LoadLMDService
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\lmdservice "Startup" Data: LoadLMDService
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "Perfomance Monitor" Data: davcsync.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Explorer\Advanced\Folder\Hidden\SHOWALL
    "CheckedValue" Data: 00, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    System "DisableRegistryTools" Data: 01, 00, 00, 00
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\System "NoDispCPL" Data: 01, 00, 00, 00
  • HKEY_CURRENT_USER\Control Panel\Desktop "LMDWallpaper"
    Data: %WINDIR%\ACD Wallpaper.bmp

・%WINDIR%フォルダにACD Wallpaper.bmpという名前のビットマップファイルも落とし込みます。このファイルの画像は、数分ごとに変わります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のレジストリキーとファイルが存在します。

・予期せず、ネットワークトラフィックが発生します(リモート共有へワームをコピーします)。

TOPへ戻る

感染方法

・感染したファイルがダブルクリックされるとワームが起動し、開いている共有で繁殖します。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

定義ファイルを使うと以下のレジストリキーとサブバリューを削除することができます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lmdservice
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "Perfomance Monitor"

また、落とし込まれた'ACD Wallpaper.bmp'ファイルを削除し、デスクトップの背景を元に戻してください。

TOPへ戻る