製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mugly.c@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4416
対応定義ファイル
(現在必要とされるバージョン)
4416 (現在7515)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Mugly.c@mm (Symantec) W32/Wurmark-C (Sophos) WORM_MUGLY.C (Trend)
情報掲載日2004/12/22
発見日(米国日付)2004/12/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/29RDN/Download...
07/29RDN/Download...
07/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7515
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Mugly.c@MMはVisual Basicで作成された電子メールワームです。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • ターゲットマシンのファイルから電子メールアドレスを収集します。
  • メッセージの差出人のアドレスを偽装します。
  • ローカルのHOSTSファイルを上書きします。
  • IRCバックドア(上記のエンジン/ウイルス定義ファイルでW32/Sdbot.worm.gen.hとして検出)をドロップ(作成)します。
電子メールを介した繁殖

・W32/Mugly.c@MMは自身のSMTPエンジンを使用してメッセージを作成し、ターゲットマシンからアドレスを収集します。アドレスを検索するファイルは以下のとおりです。

  • .wab
  • .adb
  • .tbb
  • .dbx
  • .asp
  • .php
  • .htm
  • html
  • .sht
  • .txt
  • .doc

・W32/Mugly.c@MMは以下の文字列を含むアドレスには電子メールを送信しません。

  • adaware
  • nod32
  • trendmicro
  • avguk
  • grisoft
  • pandasoftware
  • sophos
  • sophos
  • .gov
  • symantec
  • lavasoft
  • mcafee
  • kaspersky

・送信メッセージのフォーマットは以下のとおりです。

差出人:
・以下のレジストリを参照することにより、ターゲットマシンから照会します。

  • HKEY_CURRENT_USER\Software\Microsoft\InternetAccount Manager\Accounts\00000001\SMTP Email Address

・うまくいかない場合は、組み込まれているアドレスを使用します。

  • tony@hotmail.com
  • mery@msn.com
  • romeorichard@google.com
  • George@cnet.com
  • michael88@hotmail.com
  • administrator@hotmail.com
  • monika666@gmail.com
  • hunky78@norton.com
  • Ales56@mcafee.com
  • tit_fuck_909@gmail.com
  • micheangelo@yahoo.com
  • angy@hotmail.com
  • britny@paltalk.com
  • goonish88@aol.com
  • george88@download.com
件名:以下の件名を使用します。
  1. Hhahahah lol!!!!
  2. Your Pic On A Website!!
  3. Rate My Pic.......
  4. You have an Admirer
本文:上記で選択した件名に合わせて、以下の本文を使用します。
  1. i found this on my computer from ages ago
    download it and see if you can remember it
    lol i was lauging like mad when i saw it! :D
    email me back haha...
  2. I was looking at a website and came across
    this pic they look just like you! infact im sure
    it is lol did you send this pic into them ? or
    is it someonce else :S ? Ive Added the pic in
    a zip so download it and check & email me back!
  3. Hi ive sent 5 emails now and nobody will rate
    my pic!! :( please download and tell me what you
    think out of 10 dont worry if you dont like it
    just say i wont be offended p.s i was drunk when
    it was taken :P
  4. Someone has asked us on there behalf to send
    you this email and tell you they think you are
    wonderfull!!! All the The mystery persons details
    you need are enclosed in the attachment :)
    please download and respond telling us if you
    would like to make further contact with this
    person.

    Regards Hallmark Admirer Mail Admin.

添付ファイル:ATTACHMENT.ZIPというファイル名のZIPファイルが添付されます。ZIP圧縮ファイルには、以下のファイル名を持つW32/Mugly.c@MMのコピーが格納されています。

  • Pic_001.exe
  • Mary-Christmas.scr
  • Hapy-new-year.scr
  • Photo_01.pif
  • admire_001.exe
  • is_this_you.scr
  • love_04.scr
  • for_you.pif

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • HOSTSファイルが上書きされ、以下の更新サイトにアクセスすると、localhost(127.0.0.1)にリダイレクトされます。
    • rads.mcafee.com
    • liveupdate.symantecliveupdate.com
    • update.symantec.com
    • downloads-us2.kaspersky-labs.com
    • downloads-us3.kaspersky-labs.com
    • downloads-us4.kaspersky-labs.com
    • updates3.kaspersky-labs.com
    • symantecliveupdate.com
    • symatec.com
    • downloads3.kaspersky-labs.com
    • ftp.downloads1.kaspersky-labs.com
    • liveupdate.symantec.com
    • updates1.kaspersky-labs.com
    • downloads-us1.kaspersky-labs.com
    • updates2.kaspersky-labs.com
    • downloads1.kaspersky-labs.com
    • downloads2.kaspersky-labs.com
    • ftp.downloads2.kaspersky-labs.com
    • ftp.downloads3.kaspersky-labs.com
  • 上記の内容と一致する送信メッセージが存在します。
  • 以下の画像が表示されます(W32/Mugly.c@MMによってドロップ(作成)され、表示されます)。
  • 「感染方法」の欄で述べたファイルとレジストリキーが存在します。

感染方法TOPへ戻る
感染方法

・W32/Mugly.c@MMが実行されると、%SysDir%(Windowsのシステムディレクトリ、例:C:\WINDOWS\SYSTEM32)に自身のコピーを作成します。

  • %SysDir%\XXZ.TMP

・以下のファイルがドロップ(作成)されます。

  • %SysDir%\ANSMTP.DLL (141,312バイト - 無害なSMTPライブラリ)
  • %SysDir%\attached.zip (ZIPに格納されたW32/Mugly.c@MMのコピー)
  • %SysDir%\bszip.dll (34,304バイト - 無害なZIPライブラリ)
  • %SysDir%\uglym.jpg (11,228バイト - 画像ファイル、「症状」を参照)
  • %SysDir%\winprotect.exe (231,500バイト - ドロップ(作成)されたIRCバックドア)
  • C:\BT32.EXE (ドロップ(作成)されたIRCバックドアのもう1つのコピー)

・ドロップ(作成)されたIRCバックドアは上記のエンジン/ウイルス定義ファイルでW32/Sdbot.worm.gen.hとして検出されます。

・ドロップ(作成)されたIRCバックドアが実行されると、ターゲットマシンに自身をインストールします。以下の値

  • "virtual" = winprotect.exe
が以下のレジストリキーが追加されてシステム起動時にフックされます。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\OLE

・バックドアが圧縮されている圧縮プログラムにより、ターゲットマシンに以下のファイルがドロップ(作成)されます。

  • %SysDir%\SVKP.SYS (2,368バイト)

・このコンポーネントはサービスとしてターゲットマシンにインストールされ、以下のレジストリキーで設定されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP

・W32/Mugly.c@MMがドロップ(作成)して使用するZIPおよびSMTPライブラリはCOMオブジェクトとしてターゲットマシンにインストールされます。この間、以下のレジストリキーの構成データが追加されます。

  • HKEY_CLASSES_ROOT\ANSMTP.MassSender
  • HKEY_CLASSES_ROOT\ANSMTP.OBJ
  • HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
  • HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
  • HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
  • HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
  • HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
  • HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23-ABBA4637A33D}
  • HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}

・W32/Mugly.c@MMに感染し、他でこれらのライブラリを使用しない場合、無関係のアプリケーションで手動でこれらの登録を取り消す必要があります。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足