製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:O
ウイルス情報
ウイルス名危険度
W32/Oror.a@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4221
対応定義ファイル
(現在必要とされるバージョン)
4272 (現在7600)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Roron
W32/Oror.gen.a@MM
亜種W32/Oror.c@MM
W32/Oror.d@MM
W32/Oror.f@MM
情報掲載日03/02/14
発見日(米国日付)02/08/30
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

・これは、ネットワーク共有やマップされたドライブを経由して繁殖する大量メール送信ワームです。また、このワームはmIRCバックドアスクリプトの落とし込み、セキュリティソフトウェアの無効化、ファイルやフォルダの削除をします。以下のような情報を含むEメールメッセージで届きます。

・(可能性のある)件名

・:)
・ aBcDeFgHiJkLmNoPqRsT..
・Blondies forever!! :)
・Blondinkii:)
・Don't cry
・HeY :)
・HeY..
・Hi!!
・Miracle
・Ohoo!!
・Pisamce
・TinKi WinKy!!
・Vajno!!
・Very Important
・WoWoWoWOWowo..
・yoOo ;)
・Zdrasti..

・(可能性のある)添付ファイル

・[TNT]!CC geN.exe
・Blondies.exe
・Candy.exe
・Faith.exe
・Fun.exe
・Kama Sutra.exe
・Love.exe
・Magic.exe
・mTV Charts.exe
・mTV.exe
・Osama Your Mamma.exe
・Pamela.exe
・Panda Anti-Worm.exe
・Setup.exe
・Smile.exe
・Sorry.exe
・TNT!CC gEN.exe
・Zodiak.exe

・ワームの添付ファイルが起動すると、以下のような偽エラーメッセージを表示します。

・さらにワームのコピーを以下のようなファイル名でローカルドライブのルートディレクトリに保存します。

・Britney Spears Naked.exe
・CrEdIt CaRdZ gEn.exe
・Faith.exe
・GiRlZ FoReVeR (Wow).exe
・Kama Sutra.exe
・Kurnikova Screensaver (6+).exe
・Nikita v1.1 (Zip).exe
・Pamela Anderson (Porno Installation).exe
・SeX.eXe
・Teen Sex Cam.exe

・利用可能なネットワーク共有のリストとマップされたドライブのリストがC:\Shares.txtに保存されます。ワームはこの情報を使って、その場所に前述したようなファイル名で自身をコピーします。また、プログラムフォルダ内のアプリケーションをワームが模倣するために無作為に選択します。これは実行ファイルのファイル名を選択し、16, 32, または 2Kを名前の最後に付け、他のアプリケーションを上書きすることで目的を果たします。例:\Program Files\WinZip\WinZip32.exe。さらにレジストリランキーが、ファイルの作成/上書き、またはワームを起動時にロードするために作成されます。

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\%Executable filename%=%Worm Executable%

・同じような方法で、ワームのコピーがウィンドウズシステムディレクトリに既に存在するファイルの名前を利用して同じディレクトリに保存されます。また、WIN.INIランキーが、起動時にワームのコピーをロードするために作成されます。ワームはさらに%WinDir% ディレクトリにRundll16.exe の名前で自身をコピーし、そのファイルにレジストリランキーを追加します(注意:ワームのファイル名はRundll16 であって、 Rundll32ではありません。)。

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\LoadCurrentProfile=Rundll16.exe powprof.dll,LoadCurrentUserProfile

・ワームは以下の文字列を含む起動プロセスを終了させます。

・agent
・alarm
・iomon
・msie
・mstask
・nai_vs_stat
・navap
・scan
・shield
・webcheck

・ワームは以下の文字列を含むフォルダ名のフォルダ、サブフォルダを削除します。

・"black" and "ice"
・"norton" and "virus"
・"pc" and "cillin"
・avp
・kaspers
・mcafee
・panda
・zone and labs

・以下の行がMSDOS.SYS ファイルに追加されます。

・Win=%WinDir% (ie. Win=C:\Windows)

・mirc.ini ファイルが、落とし込まれたファイル名(notes.ini, alias.ini, server.ini, or popup.ini)を参照するために改ざんされます。これはmIRCクライアントをリモートアクセス型トロイの木馬に変えます。これは、リモートハッカーが感染システム上で以下のような機能を実行することを許可します。

・ウィンドウズの再起動、シャットダウン。
・ファイルの送受信
・シェルコマンドの実行
・SMTPメールの送信
・いろいろなURLに接続
・サービス拒否攻撃の初期化。

・このウイルスは下記のファイルの設定情報を記憶します。

・%WinDir%\Winfile.dll

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・以下のファイルが存在する。

・Britney Spears Naked.exe
・CrEdIt CaRdZ gEn.exe
・Faith.exe
・GiRlZ FoReVeR (Wow).exe
・Kama Sutra.exe
・Kurnikova Screensaver (6+).exe
・Nikita v1.1 (Zip).exe
・Pamela Anderson (Porno Installation).exe
・SeX.eXe
・Teen Sex Cam.exe
・%WinDir%\Rundll16.exe
・%WinDir%\Winfile.dll

感染方法TOPへ戻る
・このワームはMAPIメール(EXE経由)またはSMTPメール(mIRCバックドア経由)を通じて繁殖します。これは、mIRC起動中にシステムにリモートアクセスできるmIRCスクリプトを落とし込みます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足