ウイルス情報

ウイルス名 危険度

W32/Merkur@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4231
対応定義ファイル
(現在必要とされるバージョン)
4231 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.HLLW.Merkur@mm (NAV), WORM_MERKUR.A (Trend)
情報掲載日 02/10/29
発見日(米国日付) 02/10/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • W32/Merkur@MM は Visual Basic で作成されており、電子メール、mIRC、ピアツーピアファイル共有アプリケーション(KaZaA、BearShare、eDonkey)を介して繁殖します。4168以降の定義ファイルを使用して、プログラムヒューリスティックスを有効にしてスキャンすると、New Worm として検出されます。
インストール
  • このウイルスは、2つのシステムファイルを自身のコピーで上書きします。
    • C:\WINDOWS\taskman.exe
    • C:\WINDOWS\notepad.exe
  • また、以下の名前で自身をコピーします。
    • C:\AutoExec.exe
    • C:\WINDOWS\screensaver.exe
    • C:\WINDOWS\SYSTEM\AVupdate.exe
    • C:\Program Files\uninstall.exe (テストでは確認されませんでした)
  • このウイルス内部の文字列によると、以下のレジストリキーを追加してシステムの起動をフックさせようとすることが考えられます。(ただし、テストでは行われませんでした。)
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "AVupdate" = C:\WINDOWS\SYSTEM\AVupdate.exe
電子メールを介した繁殖
  • このウイルスは、MAPI インターフェースを使用して Outlook コンタクトリストの宛先に自身を送信します。このウイルスが送信するメールの形式は、次のとおりです。
    件名Update your Anti-virus software
    本文Here is a patch for your AV software, it will cover all the latest out breaks of worms ect (worms as in virus not earth worms! lol)
    添付ファイル45,056バイトのウイルスのコピー(テスト時のファイル名は、TASKMAN.EXE、またはAVUPDATE.EXE)
    例:

ピアツーピアを介した繁殖

  • ピアツーピアファイル共有ネットワーク上での繁殖を目的として、ウイルスは自身を以下のようにコピーします。
    • c:\program files\kazaa\my shared folder\IPspoofer.exe
    • c:\program files\bearshare\shared\IPspoofer.exe
    • c:\program files\eDonkey2000\incoming\IPspoofer.exe
    • c:\program files\kazaa\my shared folder\Virtual Sex Simulator.exe
    • c:\program files\bearshare\shared\Virtual Sex Simulator.exe
    • c:\program files\eDonkey2000\incoming\Virtual Sex Simulator.exe
mIRCを介した繁殖
  • このウイルスは、mIRC を介して SCREENSAVER.EXE として繁殖しようとします。
  • SCRIPT.INI file (363バイト) を、C:\MIRC及びC:\PROGRAM FILES\MIRC ディレクトリ内に落とし込みます。(既存のファイルを上書きします。)このファイルは、4215 以降の定義ファイルでマクロヒューリスティックを有効にしてスキャンすると New IRC として検出されます。また、上記の定義ファイルでは W32/Merkur.ini として検出されます。
ファイル削除発病ルーチーン
  • このウイルスは、ピアツーピア共有フォルダ内の以下のマスクに合致するファイルを削除するバッチファイル (p0rn.bat)を落とし込み、実行(次に削除)します
    • *.jpg
    • *.mpg
    • *.bmp
    • *.avi

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルが存在する。

TOPへ戻る

感染方法

  • このウイルスは、Outlook アドレス帳の宛先への自身の送信、mIRC、ピアツーピアファイル共有を介して繁殖する。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る