製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mumu.b.worm
企業ユーザ:
個人ユーザ:
種別ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4274
対応定義ファイル
(現在必要とされるバージョン)
4274 (現在7514)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/06/27
発見日(米国日付)03/06/26
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/28RDN/Download...
07/28Generic.dx!0...
07/28Generic Down...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7514
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Mumu.b.wormは共有ワームです。アクセス可能なリモート共有に繁殖します。複数のコンポーネントを利用してリモートマシンにADMIN$\SYSTEM32\MUMU.EXEというファイル名で自身をコピーしようとします。

・繁殖のメカニズムで使用されるコンポーネントには、McAfee製品によって検出されるものがあります。下記を参照してください。

・W32/Mumu.b.wormはMUMU.EXEファイル(290,874バイト)として、ターゲットマシンに届くようです。実行されると、以下のファイルをインストールします。

  • %SysDir%\PSEXEC.EXE (36,352バイト) - RemoteProcessLaunchアプリケーションのUPXで圧縮されたコピーです。このUPX形式のファイルは、定義ファイル4232以降でIRC/Flood.iとして検出されます。
  • %WinDir%\BBOY.EXE (20,480バイト) - 定義ファイル4273以降でPWS-SinComとして検出されます。
  • %SysDir%\BBOY.DLL (36,864バイト) - 定義ファイル4273以降でPWS-SinCom.dllとして検出されます。
  • %SysDir%\KAVFIND.EXE - リモートマシンをスキャンして開いているポートを検出するツールです。定義ファイル4272以降(4.2.40エンジン)でIPCScanとして検出されます。
  • %SysDir%\MUMU.EXE - ワームのコピー

・$SysDir%はWindows Systemディレクトリ(例:C:\WINNT\SYSTEM32)、WinDir%はWindowsディレクトリです。

・W32/Mumu.b.wormは、レジストリ名のキーを作成して、レジストリにホストIPアドレスのネットワークアドレスを保存します。例:ターゲットマシンのIPアドレス 100.0.0.2。

  • HKEY_LOCAL_MACHINE\Software\mumu "100.0.0"

・W32/Mumu.b.wormはSMTPエンジンを内蔵しており、メッセージを作成して、ターゲットマシンからハッカーへデータを送信します。このデータは、ターゲットマシン上の以下のファイルから抽出されます。

  • %Windir%\QJINFO.INI

注:このファイルはPWS-SinComによって作成されます。

・このファイルのコンテンツはbase64でエンコードされ、ワームにハードコード化されたアドレスに電子メールで送信されます。以下のSMTPサーバが使用されます。

  • SMTP.SINA.COM.CN

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルが存在します。

・予期せず、ネットワークトラフィックが発生します(MUMU.EXEファイルをリモート共有へコピーします)。

感染方法TOPへ戻る
・W32/Mumu.b.wormは、以下のパスワード使用して、リモートマシン(ADMIN$共有)へ接続しようとします。
  • %null%
  • %username%
  • %username%12
  • %username%123
  • %username%1234
  • 123
  • 1234
  • 12345
  • 123456
  • 1234567
  • 12345678
  • 654321
  • 54321
  • 1
  • 111
  • 11111
  • 111111
  • 11111111
  • 000000
  • 00000000
  • 888888
  • 88888888
  • 5201314
  • pass
  • passwd
  • password
  • sql
  • database
  • admin
  • root
  • secret
  • oracle
  • sybase
  • test
  • server
  • computer
  • Internet
  • super
  • user
  • manager
  • security
  • public
  • private
  • default
  • 1234qwer
  • 123qwe
  • abcd
  • abc123
  • 123abc
  • abc
  • 123asd
  • asdf
  • asdfgh
  • !@#$
  • !@#$%
  • !@#$%^
  • !@#$%^&
  • !@#$%^&*
  • !@#$%^&*(
  • !@#$%^&*()
  • KKKKKKK

・W32/Mumu.b.wormは接続に成功すると、マシンにADMIN$\SYSTEM32\MUMU.EXEというファイル名で自身をコピーしようとします。

・RemoteProcessLaunchアプリケーションは、マシンにあるMUMU.EXEをリモートで起動するために使用されます。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足