ウイルス情報

ウイルス名 危険度

W32/Mugly.c@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4416
対応定義ファイル
(現在必要とされるバージョン)
4416 (現在7628)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Mugly.c@mm (Symantec) W32/Wurmark-C (Sophos) WORM_MUGLY.C (Trend)
情報掲載日 2004/12/22
発見日(米国日付) 2004/12/17
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Mugly.c@MMはVisual Basicで作成された電子メールワームです。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • ターゲットマシンのファイルから電子メールアドレスを収集します。
  • メッセージの差出人のアドレスを偽装します。
  • ローカルのHOSTSファイルを上書きします。
  • IRCバックドア(上記のエンジン/ウイルス定義ファイルでW32/Sdbot.worm.gen.hとして検出)をドロップ(作成)します。
電子メールを介した繁殖

・W32/Mugly.c@MMは自身のSMTPエンジンを使用してメッセージを作成し、ターゲットマシンからアドレスを収集します。アドレスを検索するファイルは以下のとおりです。

  • .wab
  • .adb
  • .tbb
  • .dbx
  • .asp
  • .php
  • .htm
  • html
  • .sht
  • .txt
  • .doc

・W32/Mugly.c@MMは以下の文字列を含むアドレスには電子メールを送信しません。

  • adaware
  • nod32
  • trendmicro
  • avguk
  • grisoft
  • pandasoftware
  • sophos
  • sophos
  • .gov
  • symantec
  • lavasoft
  • mcafee
  • kaspersky

・送信メッセージのフォーマットは以下のとおりです。

差出人:
・以下のレジストリを参照することにより、ターゲットマシンから照会します。

  • HKEY_CURRENT_USER\Software\Microsoft\InternetAccount Manager\Accounts\00000001\SMTP Email Address

・うまくいかない場合は、組み込まれているアドレスを使用します。

  • tony@hotmail.com
  • mery@msn.com
  • romeorichard@google.com
  • George@cnet.com
  • michael88@hotmail.com
  • administrator@hotmail.com
  • monika666@gmail.com
  • hunky78@norton.com
  • Ales56@mcafee.com
  • tit_fuck_909@gmail.com
  • micheangelo@yahoo.com
  • angy@hotmail.com
  • britny@paltalk.com
  • goonish88@aol.com
  • george88@download.com
件名:以下の件名を使用します。
  1. Hhahahah lol!!!!
  2. Your Pic On A Website!!
  3. Rate My Pic.......
  4. You have an Admirer
本文:上記で選択した件名に合わせて、以下の本文を使用します。
  1. i found this on my computer from ages ago
    download it and see if you can remember it
    lol i was lauging like mad when i saw it! :D
    email me back haha...
  2. I was looking at a website and came across
    this pic they look just like you! infact im sure
    it is lol did you send this pic into them ? or
    is it someonce else :S ? Ive Added the pic in
    a zip so download it and check & email me back!
  3. Hi ive sent 5 emails now and nobody will rate
    my pic!! :( please download and tell me what you
    think out of 10 dont worry if you dont like it
    just say i wont be offended p.s i was drunk when
    it was taken :P
  4. Someone has asked us on there behalf to send
    you this email and tell you they think you are
    wonderfull!!! All the The mystery persons details
    you need are enclosed in the attachment :)
    please download and respond telling us if you
    would like to make further contact with this
    person.

    Regards Hallmark Admirer Mail Admin.

添付ファイル:ATTACHMENT.ZIPというファイル名のZIPファイルが添付されます。ZIP圧縮ファイルには、以下のファイル名を持つW32/Mugly.c@MMのコピーが格納されています。

  • Pic_001.exe
  • Mary-Christmas.scr
  • Hapy-new-year.scr
  • Photo_01.pif
  • admire_001.exe
  • is_this_you.scr
  • love_04.scr
  • for_you.pif

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • HOSTSファイルが上書きされ、以下の更新サイトにアクセスすると、localhost(127.0.0.1)にリダイレクトされます。
    • rads.mcafee.com
    • liveupdate.symantecliveupdate.com
    • update.symantec.com
    • downloads-us2.kaspersky-labs.com
    • downloads-us3.kaspersky-labs.com
    • downloads-us4.kaspersky-labs.com
    • updates3.kaspersky-labs.com
    • symantecliveupdate.com
    • symatec.com
    • downloads3.kaspersky-labs.com
    • ftp.downloads1.kaspersky-labs.com
    • liveupdate.symantec.com
    • updates1.kaspersky-labs.com
    • downloads-us1.kaspersky-labs.com
    • updates2.kaspersky-labs.com
    • downloads1.kaspersky-labs.com
    • downloads2.kaspersky-labs.com
    • ftp.downloads2.kaspersky-labs.com
    • ftp.downloads3.kaspersky-labs.com
  • 上記の内容と一致する送信メッセージが存在します。
  • 以下の画像が表示されます(W32/Mugly.c@MMによってドロップ(作成)され、表示されます)。
  • 「感染方法」の欄で述べたファイルとレジストリキーが存在します。

TOPへ戻る

感染方法

感染方法

・W32/Mugly.c@MMが実行されると、%SysDir%(Windowsのシステムディレクトリ、例:C:\WINDOWS\SYSTEM32)に自身のコピーを作成します。

  • %SysDir%\XXZ.TMP

・以下のファイルがドロップ(作成)されます。

  • %SysDir%\ANSMTP.DLL (141,312バイト - 無害なSMTPライブラリ)
  • %SysDir%\attached.zip (ZIPに格納されたW32/Mugly.c@MMのコピー)
  • %SysDir%\bszip.dll (34,304バイト - 無害なZIPライブラリ)
  • %SysDir%\uglym.jpg (11,228バイト - 画像ファイル、「症状」を参照)
  • %SysDir%\winprotect.exe (231,500バイト - ドロップ(作成)されたIRCバックドア)
  • C:\BT32.EXE (ドロップ(作成)されたIRCバックドアのもう1つのコピー)

・ドロップ(作成)されたIRCバックドアは上記のエンジン/ウイルス定義ファイルでW32/Sdbot.worm.gen.hとして検出されます。

・ドロップ(作成)されたIRCバックドアが実行されると、ターゲットマシンに自身をインストールします。以下の値

  • "virtual" = winprotect.exe
が以下のレジストリキーが追加されてシステム起動時にフックされます。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\OLE

・バックドアが圧縮されている圧縮プログラムにより、ターゲットマシンに以下のファイルがドロップ(作成)されます。

  • %SysDir%\SVKP.SYS (2,368バイト)

・このコンポーネントはサービスとしてターゲットマシンにインストールされ、以下のレジストリキーで設定されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP

・W32/Mugly.c@MMがドロップ(作成)して使用するZIPおよびSMTPライブラリはCOMオブジェクトとしてターゲットマシンにインストールされます。この間、以下のレジストリキーの構成データが追加されます。

  • HKEY_CLASSES_ROOT\ANSMTP.MassSender
  • HKEY_CLASSES_ROOT\ANSMTP.OBJ
  • HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
  • HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
  • HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
  • HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
  • HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
  • HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23-ABBA4637A33D}
  • HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}

・W32/Mugly.c@MMに感染し、他でこれらのライブラリを使用しない場合、無関係のアプリケーションで手動でこれらの登録を取り消す必要があります。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る