製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mugly.a@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4411
対応定義ファイル
(現在必要とされるバージョン)
4411 (現在7599)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2004/12/01
発見日(米国日付)2004/11/29
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/21W32/Akbot!35...
10/21RDN/Generic ...
10/21RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7599
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・今日までにMuglyの少なくとも2つの亜種が発見されています。W32/Mugly.a@MMは以下のような電子メールの添付ファイルとして繁殖します。

差出人:擬装

件名:(以下のいずれか)

  • You have an Admirer
  • Your Pic On A Website!!
  • Rate My Pic.......
  • Hhahahah lol!!!!
本文:(以下のいずれか)
Someone has asked us on there behalf to send you this email and tell you they think you are wonderfull!!! All the The mystery persons details you need are enclosed in the attachment :) please download and respond telling us if you would like to make further contact with this person. Regards Hallmark Admirer Mail Admin.
Current email was sent by an Evaluation License. Note: This footer will be removed with Licensed Version

または

I was looking at a website and came across this pic they look just like you! infact im sure it is lol , did you send this pic into them ? or is it someonce else :S ? Ive Added the pic in a zip so download it and check & email me back!
Current email was sent by an Evaluation License. Note: This footer will be removed with Licensed Version

または

Hi ive sent 5 emails now and nobody will rate my pic!! :( please download and tell me what you think out of 10 , dont worry if you dont like it just say i wont be offended p.s i was drunk when it was taken :P
Current email was sent by an Evaluation License. Note: This footer will be removed with Licensed Version

または

i found this on my computer from ages ago download it and see if you can remember it lol i was lauging like mad when i saw it! :D email me back haha...
Current email was sent by an Evaluation License. Note: This footer will be removed with Licensed Version

添付ファイル:attached.zip(以下のいずれかのファイルを格納)

  • for_you.pif
  • Pic_001.exe
  • Sexy_09.scr
  • Scan_04.scr
  • Photo_01.pif
  • admire_001.exe
  • is_this_you.scr
  • love_04.scr

・W32/Mugly.a@MMは、標準的なSMTPライブラリを使用して、メッセージを送信します。感染メッセージには以下のメールフィールドが含まれています。

X-Mailer: SMTP COMPONENT

・attached.zipファイルが開かれ、格納されている実行ファイルが実行されると、W32/Mugly.a@MMは以下の画像を表示します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・W32/Mugly.a@MMが動作すると、Windowsのシステムディレクトリ(%WinDir%\System32など)に以下のファイルを作成します。

  • ANSMTP.DLL(385,024バイト)- 標準的なSMTPメール送信エンジン
  • attached.zip(417,029バイト)- 圧縮されたW32/Mugly.a@MMのコピー
  • bszip.dll(62,464バイト)- 標準的なアーカイブエンジン
  • SVKP.sys(2,368バイト)- IRC-Deport.sysトロイの木馬として検出
  • uglym.jpg(11,228バイト)- 画像ファイル
  • winit.exe(227,064バイト)- W32/Sdbot.wormの新しい亜種
  • xxz.tmp(423,443バイト)- W32/Mugly.a@MMのコピー

・Muglyは以下のレジストリキーの値を作成するW32/Sdbot.wormの亜種をドロップ(作成)して実行します。

  • HKEY_CURRENT_USER\Software\Microsoft\OLE "virtual" = winit.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "virtual" = winit.exe

・W32/Mugly.a@MMはローカルクラスBのサブネットをスキャンして、TCPポート445上でSYNパケットを送信し、応答するシステムを探します。Sdbotでよく見られるように、W32/Mugly.a@MMにはDcomRpcの脆弱性とLSASSを利用するコードが組み込まれています。また、アクセス可能な共有(ADMIN$、IPC$、C$、D$)と脆弱なパスワードを利用して繁殖することも可能です。以下のドメインへのIPトラフィックが確認される場合があります。

  • windowss.serveftp.com

感染方法TOPへ戻る

・W32/Mugly.a@MMは電子メールを介して繁殖し、さまざまな方法で繁殖するW32/Sdbot.wormの亜種をドロップ(作成)します。以下のファイルからアドレスを収集します。

  • .wab
  • .adb
  • .tbb
  • .dbx
  • .asp
  • .php
  • .htm
  • .html
  • .sht
  • .txt
  • .doc

・ただし、以下の文字列を含むアドレスには自身を送信しません。

  • adaware
  • nod32
  • trendmicro
  • avguk
  • grisoft
  • pandasoftware
  • sophos
  • sophos
  • .gov
  • symantec
  • lavasoft
  • mcafee
  • kaspersky

・大量のメールを送信するため、標準的なSMTPエンジンをシステムに登録します。その結果、以下のレジストリの分岐が作成されます。

  • HKEY_CLASSES_ROOT\ANSMTP.MassSender
  • HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
  • HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
  • HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
  • HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
  • HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23-ABBA4637A33D}

・ドロップ(作成)されたW32/Sdbot.wormはSVKPで圧縮されており、以下のサービスを作成します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
  • HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}

駆除方法TOPへ戻る

Windows ME/XPでの駆除についての補足