製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
BAT/Mumu.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4269
対応定義ファイル
(現在必要とされるバージョン)
4339 (現在7544)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名BAT.Muma (DrWeb): Bat.Mumu.A.Worm (Symantec): BAT_SPYBOT.A (Trend): IPCScan: PCGhost
情報掲載日03/06/04
発見日(米国日付)03/06/02
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

2003年6月9日更新情報

参考情報:Bat/Mumu(およびBugbear.b)ウイルスを「特に手間暇かけることもなく気がついたら全自動で防げていた」というお客様の事例です。


2003年6月3日更新情報

・AVERTは、BAT/Mumu.wormについての報告を受けています。提出されたファイルから、今後、より多くのバージョンが発見されると考えられます。ここに表示したファイル名は簡単に変更することができ、掲載された情報と異なるサンプルも既に発見されています。他のアプリケーションや悪質なソフトウェアがスクリプトに追加され、感染後のワームの機能が変わることも考えられます。掲載情報は、BAT/Mumu.wormの概要です。

・BAT/Mumu.wormは、バッチファイル、ユーティリティプログラム、およびトロイの木馬を使用して繁殖します。17の異なるファイルをターゲットシステムに単純にコピーし、バッチファイルをリモート実行してさらに繁殖します。IPアドレスを検索して感染し、さまざまなファイルを上書きコピーします。そして、再度バッチファイルを実行します。このワームはキー入力を取得したり、設定された電子メールアドレスへ電子メールを送信したりしますが、破壊的な発病ルーチンはありません。しかし、AVERTが受け取ったサンプルでは、キープログラム(PCGhost)をnView Desktop Managerに置換えました。ワームはこの無害なファイルを広めながら、繁殖を続けます。PCGhostは「有害の可能性のあるプログラム」で、キー入力などのシステムの使用状況をモニタし、この情報をログファイルに記録して指定された電子メールアドレスに送信します。

・このワームは、以下のファイルを使用します。
10.BAT HFind.exeファイルの実行。他のBATファイルの呼び出し
hack.bat リモート共有(admin$\system32)に他のファイルをすべてコピー。START.BATファイルのリモート実行
HFind.exe トロイの木馬、IPScan
ipc.bat IPリストにあるすべてのIPアドレスを何度も実行。HACK.BATファイルの呼び出し
IPCPass.txt Tempファイル
MUMA.BAT ログファイルの作成。NWIZ.EXEファイルの実行
NEAR.BAT tempファイルの作成。10.batファイルの呼び出し
NWIZe.EXE NVidia Desktop Manager application(ある時点まではPCGhost application)
NWIZe.INI NWIZe.exe設定ファイル
NWIZe.IN_ NWIZe.exe設定ファイル
pcMsg.dll PCGhost applicationファイル
PSEXEC.EXE Remote Process Launchアプリケーション
RANDOM.BAT IPアドレスのpingに使用するランダムな数字を作成
rep.EXE 文字列置換を行うアプリケーション
replace.bat パラメータを設定したrep.exeファイルの呼び出し
START.BAT 他のBATファイルを呼び出すメインプログラム
tihuan.txt ワークファイル

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルが存在します。

感染方法TOPへ戻る
・BAT/Mumu.wormは、アクセス可能な共有(IPC$ and ADMIN$)を介して繁殖します。ローカルマシンのCドライブ上にあるランダムなIPアドレスに攻撃を仕掛けます。トロイの木馬のHFind.exeファイルでアクセス可能なIPアドレスと共有パスワードを(辞書攻撃を仕掛けて)取得します。取得した情報を使用してターゲットシステムにワームをコピーし、実行します。

・BAT/Mumu.wormの亜種の中には、PCGhost keylogging applicationを持ちSMTP server SMTP.SINA.COM.CNを使い、取得したファイルをSINA.COMアドレスに送るように設定されているものがあります。今後出てくるであろう亜種においては、この設定は変わっていくと考えられます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

・多くの共有ネットワークを介して繁殖するウイルスは脆弱なユーザネームやパスワードを利用します。"admin"や"administrator"などというユーザネームと、"admin"や"123456"などのパスワードを利用して辞書攻撃をかけ、administratorの権利を得ます。

・このような弱いユーザ名 / パスワードはローカルユーザーの資格を使う事が出来るようになります。これは、システムのsuper-administratorや、domain-adminがウイルスに感染すると、そのウイルスはこのシステムのすべての範囲に影響を与えることが出来るということを意味します。

・このようなワームは管理のされていない管理者共有を利用することが多いので、感染を防ぐためには、すべてのシステムの管理者共有(C$, IPC$, ADMIN$)を削除してしまうと良いでしょう。また、下記のコマンドが含まれたシンプルなバッチファイルをログオンスクリプトから実行したり、スタートアップフォルダに配置することも役に立つでしょう。

  • net share c$ /delete
  • net share d$ /delete
  • net share e$ /delete
  • net share ipc$ /delete
  • net share admin$ /delete

共有ネットワーク繁殖をするウイルスには「有害の可能性のあるプログラム」として検出され、定義ファイルでは駆除できないものもあります。

VirusScan 4.xユーザの方で、これらのウイルスを検出したい場合は、以下の手順にしたがってください。

このプログラムをシステム上で駆除したい場合は、/PROGRAMと/CLEANスイッチを入れてコマンドラインスキャナーを起動してください。

  1. スタートボタンをクリックします。
  2. 「ファイル名を指定して実行(R)...」をクリックします。
  3. COMMANDと打ってENTERキーを押します。
  4. c:\progra~1\common~1\networ~1\viruss~1\4.0.xx\scan.exe c: /program /clean /sub
    とタイプし、ENTERキーを押します。

VirusScan 7以降をお使いのお客様はコンフィギュレーションオプションの「不要と思われるプログラムを検出(D)」・「ジョークプログラムを検出(K)」をチェックすることでアプリケーションやジョークプログラムを検出することが出来ます。(下図ご参照ください。)

企業ユーザのお客様

VirusScan 7 Enterprise オンアクセススキャンにもこの機能は含まれています。

・下記に示したファイルは、必要がない場合は手動で削除してください。(スキャナーはこれらのファイルをトロイの木馬やウイルスとしては検出しません。アプリケーションとして検出されるものはあります。)

注意:
同じ名前を持ちながらも、ウイルスとは関係ないファイルがある可能性があります。どんなファイルであっても名前だけで判断し削除するには注意が必要です。更に、下記のファイル名は今後変わっていく可能性があります。

  • A.LOG
  • A.TMP
  • B.TMP
  • IPCPass.txt
  • ntservice.exe
  • NWIZ_.exe
  • NWIZe.IN_
  • pcMsg.dll
  • PSEXEC.EXE
  • rep.EXE
  • space.txt
  • tihuan.txt
  • Edit the registry

・このウイルスによって作られたサービスを削除するためには、下記のレジストリキーを削除してください。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application

・administrators グループから admin ユーザアカウントを削除するか、リセットする必要があるかもしれません。