製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Merkur@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4231
対応定義ファイル
(現在必要とされるバージョン)
4231 (現在7565)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.HLLW.Merkur@mm (NAV), WORM_MERKUR.A (Trend)
情報掲載日02/10/29
発見日(米国日付)02/10/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
  • W32/Merkur@MM は Visual Basic で作成されており、電子メール、mIRC、ピアツーピアファイル共有アプリケーション(KaZaA、BearShare、eDonkey)を介して繁殖します。4168以降の定義ファイルを使用して、プログラムヒューリスティックスを有効にしてスキャンすると、New Worm として検出されます。
インストール
  • このウイルスは、2つのシステムファイルを自身のコピーで上書きします。
    • C:\WINDOWS\taskman.exe
    • C:\WINDOWS\notepad.exe
  • また、以下の名前で自身をコピーします。
    • C:\AutoExec.exe
    • C:\WINDOWS\screensaver.exe
    • C:\WINDOWS\SYSTEM\AVupdate.exe
    • C:\Program Files\uninstall.exe (テストでは確認されませんでした)
  • このウイルス内部の文字列によると、以下のレジストリキーを追加してシステムの起動をフックさせようとすることが考えられます。(ただし、テストでは行われませんでした。)
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "AVupdate" = C:\WINDOWS\SYSTEM\AVupdate.exe
電子メールを介した繁殖
  • このウイルスは、MAPI インターフェースを使用して Outlook コンタクトリストの宛先に自身を送信します。このウイルスが送信するメールの形式は、次のとおりです。
    件名Update your Anti-virus software
    本文Here is a patch for your AV software, it will cover all the latest out breaks of worms ect (worms as in virus not earth worms! lol)
    添付ファイル45,056バイトのウイルスのコピー(テスト時のファイル名は、TASKMAN.EXE、またはAVUPDATE.EXE)
    例:

ピアツーピアを介した繁殖

  • ピアツーピアファイル共有ネットワーク上での繁殖を目的として、ウイルスは自身を以下のようにコピーします。
    • c:\program files\kazaa\my shared folder\IPspoofer.exe
    • c:\program files\bearshare\shared\IPspoofer.exe
    • c:\program files\eDonkey2000\incoming\IPspoofer.exe
    • c:\program files\kazaa\my shared folder\Virtual Sex Simulator.exe
    • c:\program files\bearshare\shared\Virtual Sex Simulator.exe
    • c:\program files\eDonkey2000\incoming\Virtual Sex Simulator.exe
mIRCを介した繁殖
  • このウイルスは、mIRC を介して SCREENSAVER.EXE として繁殖しようとします。
  • SCRIPT.INI file (363バイト) を、C:\MIRC及びC:\PROGRAM FILES\MIRC ディレクトリ内に落とし込みます。(既存のファイルを上書きします。)このファイルは、4215 以降の定義ファイルでマクロヒューリスティックを有効にしてスキャンすると New IRC として検出されます。また、上記の定義ファイルでは W32/Merkur.ini として検出されます。
ファイル削除発病ルーチーン
  • このウイルスは、ピアツーピア共有フォルダ内の以下のマスクに合致するファイルを削除するバッチファイル (p0rn.bat)を落とし込み、実行(次に削除)します
    • *.jpg
    • *.mpg
    • *.bmp
    • *.avi

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルが存在する。

感染方法TOPへ戻る
  • このウイルスは、Outlook アドレス帳の宛先への自身の送信、mIRC、ピアツーピアファイル共有を介して繁殖する。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足