製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Morb@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4258
対応定義ファイル
(現在必要とされるバージョン)
4258 (現在7548)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/04/11
発見日(米国日付)03/04/10
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/31PWS-Mmorpg.g...
08/31Generic.tfr!...
08/31PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7548
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Morb@MMはBorland Delphiで作成されており、以下の複数の方法で繁殖します。

  • (Outlook Expressの)受信トレイにある電子メールメッセージへの返信として自身を送付
  • KaZaAピアツーピア(P2P)ファイル共有ネットワーク
  • IRC/HTTPポート(ターゲットマシンのポート81を開き、IRCを介してURLを配布する。表示されたHTMLページにはワームのコピーへのリンクが含まれる。)

・UPXで圧縮されたIRC-Sdbot(定義4258で検出)を落とし込みます。

・以下のファイルもターゲットマシンに落とし込みます。

  • C:\WINNT\SERVICES\SETUP.EXE(55,808バイト)
  • C:\WINNT\MSAPI.EXE(16,416バイト):定義ファイル4258で検出される、落とし込まれたIRC-Sdbot
  • C:\WINNT\SVCHOST.EXE(55,808バイト):ワームのコピー
  • C:\WINNT\SYSTEM32\WINSYST32.EXE(16,416バイト):定義ファイル4258で検出される、落とし込まれたIRC-Sdbot
  • C:\MIRC\MSCRIPT.INI(232バイト):上記の定義ファイルでW32/Morb.iniとして検出
  • C:\WINNT\SERVICES\INDEX.HTML(670バイト):上記の定義ファイルでW32/Morb.htmlとして検出

・以下の複数のレジストリキーを改変してシステムの起動をフックし、ウイルスおよび落とし込まれたIRC-Sdbotを実行します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "svchost" = C:\WINNT\svchost.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "WinSyst32" = winsyst32.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
    "WinSyst32" = winsyst32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "svchost" = C:\WINNT\svchost.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "WinSyst32" = winsyst32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    "WinSyst32" = winsyst32.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    "WinSyst32" = winsyst32.exe

・このウイルスは、“b0rm_v0.1”という文字列を含んでいます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・以下のファイルが存在します。

  • C:\WINNT\SERVICES\INDEX.HTML(670バイト)
  • C:\WINNT\SERVICES\SETUP.EXE(55,808バイト、ワームのコピー)
  • C:\WINNT\MSAPI.EXE(16,416バイト、落とし込まれたIRC-Sdbot)
  • C:\WINNT\SVCHOST.EXE(55,808バイト、ワームのコピー)
  • C:\WINNT\SYSTEM32\WINSYST32.EXE(16,416バイト、落とし込まれたIRC-Sdbot)

感染方法TOPへ戻る

大量メール送信

・ターゲットマシンの受信トレイにある電子メールメッセージへの返信として自身を送信します(テストでは、Microsoft Outlook Expressの受信トレイでした)。

・以下のような電子メールメッセージを送信します。

件名/本文:以下の文字列のいずれか

  • Check this out,
  • btw, download this,
  • I wanted to show you this,
  • please check out,
  • hey go to,
  • See if you can get this to work,
  • this is cool,
  • this is funny,
  • Free porn at
  • lol,
  • is this you?
  • whats this?
  • This is me,
  • Whats wrong with?
  • wtf?
  • hmmmm,
  • Hahaha,
  • Fuck this,
  • weird,
  • HOLY SHIT,
  • WOW CHECK THIS OUT,
  • omg omg omg I found the best app,
  • What have they done with you?
  • Is this possible?
  • rofl,
  • bitch ;),
  • How come this happened?
  • This is me naked,
  • Sex me up
  • This guy is a moron,
  • Check this out
  • This is what you wanted, right?
  • Microsoft Windows Security Update
  • See if you can get this to work
  • I admit it ... I love you
  • Sex me up baby
  • This is so funny
  • To be or not to be?
  • B-ville did it again ...
  • Company information
  • Here you go, I recall you asked for this.
  • Hey sweety, check the attachement.
  • How do you feel about this?
  • Please do not make this public, thank you.
  • Please install this update, its required
  • Come on honey!
  • I love this funny game, check it out.
  • This is the stock information you wanted.
  • Keep it a secret please!
  • With love from b-ville!

添付ファイル:件名と本文に合わせて、以下のファイル名のいずれかを選択

  • Q349247.exe
  • information.DOC.exe
  • Saddam_Game.exe
  • I_Love_U.exe
  • NakedPics.JPG.exe
  • FreeSex.exe
  • B-ville.exe
  • StockInformation.XLS.exe
  • SecretFile.exe
  • Attachement.exe

・送信される電子メッセージの例:

IRC/HTTP繁殖

・ターゲットマシンのポート81を開きます。C:\MIRC\MSCRIPT.INI(232バイト)というファイル名でIRCスクリプトを落とし込み、ターゲットマシンが感染したことを通知する以下のメッセージを送信します(不適切な文字は伏字にしています)。

  • F*** this, http://(ターゲットマシンのIPアドレス):81

・ターゲットマシンにMIRC.INIスクリプトが存在する場合は、既存のファイルの最後に以下の行を追加して落とし込んだMSCRIPT.INIファイルを実行します。

[rfiles]
n2=MScript.ini

・ターゲットマシンの%WinDir%\SERVICESディレクトリにINDEX.HTMLファイルを落とし込みます。このHTMLページは、以下のようにMultimedia Playerに関するメッセージを装います。

・上記のページは、IRCで配布されたURLをクリックすると表示されます。そのHTMLページには、このワームのローカルのコピー(SETUP.EXE)へのリンクが含まれています。

P2P繁殖

・このウイルスの文字列から、以下のファイル名を使用してKaZaAファイル共有ネットワークを介して繁殖すると考えられます。

  • Unreal 2 - The Awakening.exe
  • Command & Conquer Generals.exe
  • Splinter Cell.exe
  • Warcraft III - The Frozen Throne.exe
  • Gods & Generals.exe
  • Unreal 2 Crack.exe
  • Command & Conquer Generals Crack.exe
  • Gods & Generals Crack.exe
  • The Sims 4.exe
  • The Sims 4 Crack.exe
  • Splinter Cell Crack.exe
  • Raven Shield - Crack.exe
  • Raven Shield Keygenerator - WORKS ONLINE.exe
  • Mortal Kombat - Deadly Alliance.exe
  • GTA 4 - BETA.exe