ウイルス情報

ウイルス名 危険度

BAT/Mumu.worm.c

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4283
対応定義ファイル
(現在必要とされるバージョン)
4283 (現在7659)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 BAT.Boohoo.Worm (Symantec)
情報掲載日 03/08/07
発見日(米国日付) 03/07/25
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・BAT/Mumu.worm.cはBAT/Mumu.wormの亜種で、定義ファイル4283以降でBAT/Mumu.wormとして検出されます。BAT/Mumu.wormと同様に機能し、デフォルトのadmin共有(admin$)を介してリモートシステムに自身をコピーします。現在のユーザの認証情報、および/または簡単な管理者のパスワードを取得すると繁殖できます。バッチファイル、設定ファイル、およびアプリケーションを組み合わせて、IPアドレスのスキャン、アクセス可能なシステムへの接続とファイルのコピー、およびファイルの実行などのタスクを実行します。

・BAT/Mumu.worm.cはNetcatアプリケーションも内蔵しており、TCPポート6969にリモートシェルを作成します。

・感染したシステムのWinDir%\system32\ディレクトリに、BAT/Mumu.worm.cに関連する以下のファイルが存在します。

ワームファイル
Mumu worm hacker.bat
Mumu worm ip.bat
Mumu worm psexec.bat
Mumu worm scan.bat
Mumu worm starter.bat
Mumu worm Xecuter.bat
アプリケーション
Fire Daemon application Firedaemon.exe
イベントログを消去するアプリケーション clearlogs.exe
NTScan application ntscan.exe
HideWindow application HideRun.exe
RemoteProcessLaunch application psexec.exe
String Replace application rep.EXE
ランダムな数字を作成するアプリケーション random.exe
Iroffer application svhost.exe
Netcat application nc.exe
ServU Daemon application tmp1\drvrquery32.exe
CygwinR POSIX Emulation DLL CYGWIN1.dll
設定ファイル
NTScanアプリケーションが使用 NT-pass.dic
NTScanアプリケーションが使用 NT-user.dic
システム情報ヘッダテキスト sys.txt
システム情報ヘッダテキスト wm.txt
レジストリスクリプト regkeyadd.REG
Irofferの設定 protmp.txt
Irofferの設定 proreset.txt
Irofferの設定 tmp1\pro.gif
正規のDLLファイル tmp1\CommonDlg32.dll
Replace appの指示 rep.bat
Replace appの指示 replace.txt

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

注:BAT/Mumu.worm.cには細部の異なる亜種があるので、感染症状も異なる場合があります。

・以下のレジストリキー/値が存在します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "drvrquery32.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "HideRun.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "Xecuter.bat"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msnet
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\drvmanager
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\startupdll

・TCPポート6969(netcat)およびTCPポート21(FTPサーバ)を聴取します。

・Iroffer applicationとXDCC IRC Botが、TCPポート6667に接続します。

・ 共有(C$からZ$)が存在しません。

・adminというユーザを作成してパスワードを設定し、管理者グループに追加します。

TOPへ戻る

感染方法

・BAT/Mumu.worm.cは、アクセス可能な共有(ADMIN$)を介して繁殖します。NTScan applicationを使用して、ローカルのクラスAサブネット上のランダムなIPアドレスに辞書型攻撃を仕掛け、アクセス可能なIPアドレスと共有パスワードを取得します。取得した情報を使用して、ターゲットシステムに自身をコピーし、実行します。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

・多くの共有ネットワークを介して繁殖するウイルスは脆弱なユーザネームやパスワードを利用します。"admin"や"administrator"などというユーザネームと、"admin"や"123456"などのパスワードを利用して辞書攻撃をかけ、administratorの権利を得ます。

・このような弱いユーザ名 / パスワードはローカルユーザーの資格を使う事が出来るようになります。これは、システムのsuper-administratorや、domain-adminがウイルスに感染すると、そのウイルスはこのシステムのすべての範囲に影響を与えることが出来るということを意味します。

・このようなワームは管理のされていない管理者共有を利用することが多いので、感染を防ぐためには、すべてのシステムの管理者共有(C$, IPC$, ADMIN$)を削除してしまうと良いでしょう。また、下記のコマンドが含まれたシンプルなバッチファイルをログオンスクリプトから実行したり、スタートアップフォルダに配置することも役に立つでしょう。

  • net share c$ /delete
  • net share d$ /delete
  • net share e$ /delete
  • net share ipc$ /delete
  • net share admin$ /delete

TOPへ戻る