ウイルス情報

ウイルス名 危険度

W32/Mugly.b@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4411
対応定義ファイル
(現在必要とされるバージョン)
4411 (現在7628)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2004/12/01
発見日(米国日付) 2004/11/29
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・今日までにMuglyの少なくとも2つの亜種が発見されています。W32/Mugly.b@MMは以下のような電子メールの添付ファイルとして繁殖します。

差出人:擬装

件名:(以下のいずれか)

  • You have an Admirer
  • Your Pic On A Website!!
  • Rate My Pic.......
  • Hhahahah lol!!!!
本文:(以下のいずれか)
Someone has asked us on there behalf to send you this email and tell you they think you are wonderfull!!! All the The mystery persons details you need are enclosed in the attachment :) please download and respond telling us if you would like to make further contact with this person. Regards Hallmark Admirer Mail Admin.
Current email was sent by an Evaluation License. Note: This footer will be removed with Licensed Version

または

I was looking at a website and came across this pic they look just like you! infact im sure it is lol , did you send this pic into them ? or is it someonce else :S ? Ive Added the pic in a zip so download it and check & email me back!
Current email was sent by an Evaluation License. Note: This footer will be removed with Licensed Version

または

Hi ive sent 5 emails now and nobody will rate my pic!! :( please download and tell me what you think out of 10 , dont worry if you dont like it just say i wont be offended p.s i was drunk when it was taken :P
Current email was sent by an Evaluation License. Note: This footer will be removed with Licensed Version

または

i found this on my computer from ages ago download it and see if you can remember it lol i was lauging like mad when i saw it! :D email me back haha...
Current email was sent by an Evaluation License. Note: This footer will be removed with Licensed Version

添付ファイル:attached.zip(以下のいずれかのファイルを格納)

  • for_you.pif
  • Pic_001.exe
  • Sexy_09.scr
  • Photo_01.pif
  • admire_001.exe
  • is_this_you.scr

・W32/Mugly.b@MMは、標準的なSMTPライブラリを使用して、メッセージを送信します。感染メッセージには以下のメールフィールドが含まれています。

X-Mailer: SMTP COMPONENT

・attached.zipファイルが開かれ、格納されている実行ファイルが実行されると、W32/Mugly.b@MMは以下の画像を表示します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Mugly.b@MMが動作すると、Windowsのシステムディレクトリ(%WinDir%\System32など)に以下のファイルを作成します。

  • ANSMTP.DLL(385,024バイト)- 標準的なSMTPメール送信エンジン
  • attached.zip(417,029バイト)- 圧縮されたW32/Mugly.b@MMのコピー
  • bszip.dll(62,464バイト)- 標準的なアーカイブエンジン
  • SVKP.sys(2,368バイト)- IRC-Deport.sysトロイの木馬として検出
  • uglym.jpg(11,228バイト)- 画像ファイル
  • winit.exe(227,064バイト)- W32/Sdbot.wormの新しい亜種
  • xxz.tmp(423,443バイト)- W32/Mugly.b@MMのコピー

・Muglyは以下のレジストリキーの値を作成するW32/Sdbot.wormの亜種をドロップ(作成)して実行します。

  • HKEY_CURRENT_USER\Software\Microsoft\OLE "virtual" = winit.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "virtual" = winit.exe

・W32/Mugly.b@MMはローカルクラスBのサブネットをスキャンして、TCPポート445上でSYNパケットを送信し、応答するシステムを探します。Sdbotでよく見られるように、W32/Mugly.b@MMにはDcomRpcの脆弱性とLSASSを利用するコードが組み込まれています。また、アクセス可能な共有(ADMIN$、IPC$、C$、D$)と脆弱なパスワードを利用して繁殖することも可能です。以下のドメインへのIPトラフィックが確認される場合があります。

  • windowss.serveftp.com

TOPへ戻る

感染方法

・W32/Mugly.b@MMは電子メールを介して繁殖し、さまざまな方法で繁殖するW32/Sdbot.wormの亜種をドロップ(作成)します。以下のファイルからアドレスを収集します。

  • .wab
  • .adb
  • .tbb
  • .dbx
  • .asp
  • .php
  • .htm
  • .html
  • .sht
  • .txt
  • .doc

・ただし、以下の文字列を含むアドレスには自身を送信しません。

  • adaware
  • nod32
  • trendmicro
  • avguk
  • grisoft
  • pandasoftware
  • sophos
  • sophos
  • .gov
  • symantec
  • lavasoft
  • mcafee
  • kaspersky

・大量のメールを送信するため、標準的なSMTPエンジンをシステムに登録します。その結果、以下のレジストリの分岐が作成されます。

  • HKEY_CLASSES_ROOT\ANSMTP.MassSender
  • HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
  • HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
  • HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
  • HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
  • HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23-ABBA4637A33D}

・ドロップ(作成)されたW32/Sdbot.wormはSVKPで圧縮されており、以下のサービスを作成します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
  • HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}

TOPへ戻る

駆除方法

このウイルスには、4411定義ファイルで対応いたします。4411定義ファイルは04/12/02に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

Windows ME/XPでの駆除についての補足

TOPへ戻る