ウイルス情報

ウイルス名 危険度

W32/Mumu.b.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4274
対応定義ファイル
(現在必要とされるバージョン)
4274 (現在7628)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/06/27
発見日(米国日付) 03/06/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Mumu.b.wormは共有ワームです。アクセス可能なリモート共有に繁殖します。複数のコンポーネントを利用してリモートマシンにADMIN$\SYSTEM32\MUMU.EXEというファイル名で自身をコピーしようとします。

・繁殖のメカニズムで使用されるコンポーネントには、McAfee製品によって検出されるものがあります。下記を参照してください。

・W32/Mumu.b.wormはMUMU.EXEファイル(290,874バイト)として、ターゲットマシンに届くようです。実行されると、以下のファイルをインストールします。

  • %SysDir%\PSEXEC.EXE (36,352バイト) - RemoteProcessLaunchアプリケーションのUPXで圧縮されたコピーです。このUPX形式のファイルは、定義ファイル4232以降でIRC/Flood.iとして検出されます。
  • %WinDir%\BBOY.EXE (20,480バイト) - 定義ファイル4273以降でPWS-SinComとして検出されます。
  • %SysDir%\BBOY.DLL (36,864バイト) - 定義ファイル4273以降でPWS-SinCom.dllとして検出されます。
  • %SysDir%\KAVFIND.EXE - リモートマシンをスキャンして開いているポートを検出するツールです。定義ファイル4272以降(4.2.40エンジン)でIPCScanとして検出されます。
  • %SysDir%\MUMU.EXE - ワームのコピー

・$SysDir%はWindows Systemディレクトリ(例:C:\WINNT\SYSTEM32)、WinDir%はWindowsディレクトリです。

・W32/Mumu.b.wormは、レジストリ名のキーを作成して、レジストリにホストIPアドレスのネットワークアドレスを保存します。例:ターゲットマシンのIPアドレス 100.0.0.2。

  • HKEY_LOCAL_MACHINE\Software\mumu "100.0.0"

・W32/Mumu.b.wormはSMTPエンジンを内蔵しており、メッセージを作成して、ターゲットマシンからハッカーへデータを送信します。このデータは、ターゲットマシン上の以下のファイルから抽出されます。

  • %Windir%\QJINFO.INI

注:このファイルはPWS-SinComによって作成されます。

・このファイルのコンテンツはbase64でエンコードされ、ワームにハードコード化されたアドレスに電子メールで送信されます。以下のSMTPサーバが使用されます。

  • SMTP.SINA.COM.CN

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルが存在します。

・予期せず、ネットワークトラフィックが発生します(MUMU.EXEファイルをリモート共有へコピーします)。

TOPへ戻る

感染方法

・W32/Mumu.b.wormは、以下のパスワード使用して、リモートマシン(ADMIN$共有)へ接続しようとします。
  • %null%
  • %username%
  • %username%12
  • %username%123
  • %username%1234
  • 123
  • 1234
  • 12345
  • 123456
  • 1234567
  • 12345678
  • 654321
  • 54321
  • 1
  • 111
  • 11111
  • 111111
  • 11111111
  • 000000
  • 00000000
  • 888888
  • 88888888
  • 5201314
  • pass
  • passwd
  • password
  • sql
  • database
  • admin
  • root
  • secret
  • oracle
  • sybase
  • test
  • server
  • computer
  • Internet
  • super
  • user
  • manager
  • security
  • public
  • private
  • default
  • 1234qwer
  • 123qwe
  • abcd
  • abc123
  • 123abc
  • abc
  • 123asd
  • asdf
  • asdfgh
  • !@#$
  • !@#$%
  • !@#$%^
  • !@#$%^&
  • !@#$%^&*
  • !@#$%^&*(
  • !@#$%^&*()
  • KKKKKKK

・W32/Mumu.b.wormは接続に成功すると、マシンにADMIN$\SYSTEM32\MUMU.EXEというファイル名で自身をコピーしようとします。

・RemoteProcessLaunchアプリケーションは、マシンにあるMUMU.EXEをリモートで起動するために使用されます。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る