製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:O
ウイルス情報
ウイルス名危険度
W32/Oror.e@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4232
対応定義ファイル
(現在必要とされるバージョン)
4272 (現在7593)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Roron
W32.HLLW.Oror.B@mm (Symantec)
WORM_OROR.B (Trend)
情報掲載日02/11/08
発見日(米国日付)02/11/05
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/19Generic Back...
10/19DNSChanger.b...
10/19RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
  • W32/Oror.e@MM は大量メール送信型ウイルスで、mIRC、KaZaa、共有ネットワーク、およびマップ ドライブを介しても繁殖します。
  • このウイルスは SMTP 電子メールおよび MAPI 電子メールの両方を利用します。このウイルスは mIRC ボット スクリプトを落とし込み、ウィンドウも閉じて、特定のセキュリティ ソフトウェア ファイルやファイアウォール プログラムを削除します。
  • このウイルスが実行されると、以下の偽のエラー メッセージが表示されます。

  • このウイルスは以下の情報をランダムに含む電子メール メッセージで配信される可能性があります。
    件名 下記のいずれか
    • HeY
    • ZzZz
    • Bla Bla
    • HoWie
    • Happy
    • Hi Again
    • Wow
    • Hi
    • Hello
    • Hey Ya
    • Boom
    • Hi There Zdrasti
    • Zdr Otnovo
    • Ohoo
    • Ei dupe
    • Pisamce
    • TinKi WinKy
    • ZzZz
    • Bla Bla
    • Hey
    • Privet
    • Boom

    上記件名に以下の文字列のうちのいずれか1つが付きます。

    • ..
    • !!
    • :)
    • ;))
    • :pPpP
    • ~pPp
    • :>
    • !
    • ;)
    本文 下記のいずれか
    • Hello :)) How are you? Do you remember me? I hope so :)) I've just watched Tomcats, it's marvellous :pP. The summer vacation is over and this is quite unpleasent :(( I have a lot to tell you about, later.. You can't guess what I've found.. A working Credit Card generator :))) I purchased a bride from Russia yesterday :) LoL.. I gave a fake address of course :))) Don't go too far and watch out :)) I'll be very happy if you write to me soon :))) Bye..
    • Hey :) Wasupp ~Pp I wanted to write you a letter, but i didn't know what to talk about actually :) Have you ever done an IQ test?I've just scored 120 points :) I'm not sure if this good or bad is, but who cares :) Have you visited %s :) Finally, how are you:) I'll be very happy if you send me 1,2 funny cards :)) bye! :)
    • Hi again :)) Where are you? Don't you chat any more? I haven't seen you so long :)) Well, I've got a lot to tell you about. The Summer vacation was too good to be true. Beach, disco's, friends.. Unfortunately, it's Winter now and the temperatures here are very low. I was ill almost 2 weeks. Quite unpleasant :(( Have you visited %s, a little bit strange, but nice :)) Finally, how are you? Write to me :)) Byeee :pP
    • Hi again :)) Where are you? Don't you chat any more? I haven't seen you so long.. Well, I've got a lot to tell you about. The Summer vacation was too good to be true. Beach, disco's, friends.. Unfortunately, it's Winter now and the temperatures here are very low. I was ill almost 2 weeks. Quite unpleasant :(( Let's talk about you :) Are you oK? Are you in love :)) I sent you a surprise :)) There are cool thoughts, especially about love. It's nice. I'm a little bit bored of these stupid computers, but I'm waiting for the reply :)) Bye!
    • Hey :) Wasupp ~Pp I wanted to write you a letter, but i didn't know what to talk about actually :) Have you ever done an IQ test, i've just scored 120 points :) I'm not sure if this is good or bad, who cares :) Have you visited %s :) Finally, how are you:) i'll be very happy if you send me 1,2 funny cards :)))) bye! :)
    • Zdrasti, ko staa :))) Baq vreme ne sme se chuvali. Beshe mi skuchno i si vikam shto da ne napisha nqkoi drugo pismo :)) Sq i tva daskalo i napravo ujas, ne sa jivee :) Ti ostai drugoto ami i e studeno.. ~PpPp. Dano idva vakanciqta po skoro :)) Pishi neshto interesno, kak q karash, neshto novo ima li :) Pratih ti onva deto obeshtah, qko a :)) Aide i chakam..
    • Ekiput na Kefche.com ima radostta da pozdravi vsichki fenove na Kefcheto s 1-ta godishnina ot puskaneto na site-a. Nie se prevurnahme v nai-dobriq i poseshtavan bg site za zabavleniq i igri. Ot samoto si nachalo Kefche.com ima za cel da vi nosi samo i edinstveno smqh i zabava, nadqvame se che sme postignali celite si :)) Po sluchai godishninata, ekiput ni poe iniciativata da izprashta vsqka sedmica nai-dobrite flash-cheta i igrichki na vsichki user-i poseshtavashti Kefche-to. Nadqvame se da vi haresa i tova da bude samo nachaloto na edno novo zabavlenie :))
      -----------------
      Kefche.com Team.
  • このウイルスはランダムな文字列で構成されていない電子メールを配信することもあります。以下の電子メールが配信されることがあります。

    件名Yahoo! Toolbar
    本文Yahoo! Team is proud to present our new surprise for clients of Yahoo! and Yahoo! Mail. Yahoo! Toolbar is an innovative technology, which helps you to access Yahoo! Services easier than ever. It is free and is a gift for the 5th anniversary of Yahoo!. We hope that you would like it. The whole Yahoo! Team want to express our gratitude to you, the people who help us to improve Yahoo! so much, that it became the most popular worldwide portal. Thank You! We do our best to serve you.
    -------------
    Yahoo! Team. www.Yahoo.com
    添付ファイルYahoo!Toolbar.exe

    件名Virus Alert
    本文McAfee Antivirus warns about a new virus, called W32.Roro@mm. It is a high risk worm and it's using IRC and internet pages to infect computers. The virus deletes movies, music and system files. Due to the significant increase of infected users, Microsoft Corporation, with the collaboration of McAfee Antivirus, supports clients of Microsoft Windows with a patch, which fixes a bug in Internet Explorer 5.5 or minor versions. This bug allows internet pages to grant access to local resources of visitors.
    ----------------
    McAfee Antivirus www.McAfee.com
    添付ファイルIE_0276_Setup.exe

    件名(なし)
    本文Hello, WinAmp User. WinAmp Team is proud to present our new surprise for users of WinAmp. WinAmp 3.0 Final has been just released and we believe that it will be the player you've ever dreamed about. We plan to start a new tradition, sending the best skin or add-on to our users every week. This new service is free andwe hope that you would like it. Everyone can offer us suggestions. We do our best to serve you.
    ----------------
    WinAmp Team
    添付ファイルIguana1.0_skin.exe

    件名Blondes Forever
    本文Hey, whatz up :)) Where are you? Don't you chat any more? I haven't seen you so long. Read this :)) - What do blondes wear behind their ears to attract men? Their ankles!! - Why did god invent the female orgasm? So blondes know when to stop screwing!! - What is a blond with hair black colored? Artificial intelligence! Blondes forever!! :) Time off, i must go now, but i'll be very happy if you write to me soon :) Bye bye :))
    添付ファイルBlondes.exe

    件名Vajno
    本文Panda Antivirus preduprejdava za nalichieto na nov virus v internet, narechen W32.Roro@mm. Razprostranqva se predimno po IRC i chrez zarazeni internet stranici. Sled zarazqvaneto toi iztriva mp3-ki, filmi i dokumenti. Poradi golemiq broi zarazeni bulgari prez poslednite nqkolko dena, Panda Antivirus zapochna razprostranenieto na patch, koito opravq bug v Internet Explorer 5.5 i minali versii, pozvolqvasht na stranici sas zlovredno sudurjanie da izpulnqvat komandi vurhu posetitelite. Druga nasha preporuka e ako ste veche zarazeni da ne opitvate da mahate virusa ruchno, a samo s antivirusna programa, poneje pri neuspeshen opit za premahvane W32.Roro iztriva razlichni vidove failove na operacionnata sistema.
    ------------------
    Panda Antivirus, Bulgariali
    添付ファイルIE50_032_Setup.exe

    件名Microsoft Bulgaria
    本文Blagodarenie na dulgogodishnite tradicii na Microsoft v Bulgaria i dobrata i suvestna rabota na vsichki neini podchineni, mojem nai-nakraq da pozdravim bulgarskiq potrebitel s prevod na Internet Explorer na bulgarski. Tova e edno uspeshno produljenie na iniciativata za prevejdane na Ms Office 2000 R na rodniq ni ezik. Update-a e bezplaten i e podaruk po sluchai 10 godishninata na Microsoft v Bulgaria. Nadqvame se bulgarskite potrebiteli da ostanat dovolni, koeto shte bude nai-golemiq podaruk za nas.
    ---------------------
    Microsoft, Bulgaria.
    添付ファイルIE_0274_bg.exe

    件名 [infected user name] sent you a Yahoo! Greeting
    本文Surprise! You've just received a Yahoo! Greeting from [infected user name] This is an interactive greeting card and requires Flash Media Player. Enjoy! The Yahoo! Greetings Team.
    -----------------
    Yahoo! Greetings is a free service. If you'd like to send someone a Yahoo! Greeting, you can do so at http://greetings.yahoo.com
    添付ファイルYahoo!Tomcats.exe

    件名 Yahoo! Games
    本文Yahoo! Team is proud to present our new surprise for clients of Yahoo! and Yahoo! Mail. We plan to send you the best Yahoo! Games weekly. This new service is free and it's a gift for the 5th anniversary of Yahoo!. We hope that you would like it. The whole Yahoo! Team want to express our gratitude to you, the people who help us to improve Yahoo! so much, that it became the most popular worldwide portal. Thank You! We do our best to serve you.
    -------------
    Yahoo! Team. www.Yahoo.com
    添付ファイルYahoo!Chess.exe

  • 電子メールの最後に以下の文字列が追加されることがあります。
    • P.S. Have you visited [infected website] :) Co0l :))
    • P.S. Be happy, don't worry ~pPp. Check this - [infected website] Cool :))
    • P.S. Bqgai na %s mnoo zdravo flash4e ima :pP
    • P.S. Hvarli edno oko na %s :))
  • このウイルスは、以下のファイルを KaZaa 共有フォルダにドロップ(作成)することもあります。
    • KaZaA Media Desktop v2.0.8_.exe
    • Serials 2K 7.2 (by SNTeam)_.exe
    • Serials2002_8.0(17.08.02)_.exe
    • Dreamweaver_5.0_Patch_.exe
    • ACDSee.exe
    • WinAmp_3.2_Cool_.exe
    • Download Accelerator 5.5_.exe
    • Nero Burning Rom 5.6.0.3_ cRedit_CarDs_gEn.exe
    • MeGa HACK.exe
    • Zip Password Recovery.exe
    • GTA 3 Bonus Cars(part1)_.exe
    • EminemDesktop.exe
    • DMX tHeMe .exe
    • NFS 5 Bonus Cars_.exe
    • Counter Strike 1.5 (Editor)_.exe
    • Madonna Desktop .exe
    • WinZip 8.2_.exe
    • DivX 5.4 Bundle_.exe
  • このウイルスは、例えば以下のように既存のフォルダ名の後に16、32、または98を付けたファイル名で、自身の複数のコピーを落とし込みます。  
    • C:\Program Files\Online Services = C:\Program Files\Online Services\Online Services 98.exe
  • 次に、この落とし込んだファイルのレジストリ実行キーを作成します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\Online Services = C:\Program Files\Online Services\Online Services 98.exe
  • 上記の操作は、%Program Files% フォルダ内のいずれかのフォルダに起こることがあります。同様の方法で、ウイルスは WINDOWS SYSTEM(%SysDir%) フォルダにある DLL ファイルの名前を使用し、この名前で自身をコピーして、このファイルの WIN.INI 実行キーを作成します。
    • run=C:\WINDOWS\SYSTEM\MSPRINT 98.exe
  • このウイルスは MIRC ファイル(mirc.ini、remotes.ini、controls.ini、versions.ini、notes.ini、url.ini、version.ini)を上書きし、IRC ボットを作成します。このボットにより、リモート攻撃者は感染したシステムを使用して以下のような操作を行うことができます。
    • IRCチャネルへのログオン
    • ファイルのアップロード/ダウンロード
    • サービス拒否攻撃の開始
    • webサイトへのアクセス
    • SMTPを介したウイルスの大量メール送信

    注: mIRC ボットを介したメール大量送信のコマンドが出されると、ウイルスは Microsoft Internet Explorer(SP2にアップデートされていないver 5.01と5.5)の、不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020) を利用します。これにより、脆弱な Outlook のクライアントで単に電子メール メッセージを見るだけでウイルスが実行されます。Gateway スキャナでは、定義ファイル 4213 以降を使用して、この脆弱性を利用するサンプルを Exploit-MIME.gen. または Exploit-MIME.gen.exe として検出します。

  • W32/Oror.e@MM は、Windows ディレクトリに自身を[ランダムなファイル名].exe としてコピーし、以下のようにレジストリ設定を改変します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\LoadCurrentProfile ="[ランダムなファイル名]powprof.dll,LoadCurrentUserProfile"
  • このウイルスは以下のレジストリ キーをフックします。
    • HKEY_CLASSES_ROOT\exefile\shell\open\command c:\[windows directory]\[random file name].exe "%1" %*
  • これにより、いずれかの .exe ファイルを開くと、ウイルスが実行されます。
  • このウイルスは、以下のいずれかの文字列を含むタイトルのウィンドウを閉じることがあります。
    • black
    • panda
    • shield
    • guard
    • scan
    • mcafee
    • nai_vs_stat
    • iomon
    • navap
    • avp
    • alarm
    • f-prot
    • secure
    • labs
    • antivir
  • また、このウイルスは以下のいずれかの文字列を含むフォルダおよびサブフォルダを検索し、これらのフォルダと中に含まれるファイルを削除します。
    • "virus" および "norton"
    • "ice" および "black"
    • pc
    • cillin
    • mcafee
    • "labs" および "zone"
    • guard
    • worm
    • antivir
    • secure
    • f-prot
    • kaspers
    • avp
    • panda
    • conseal

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルが存在する。

感染方法TOPへ戻る
  • このウイルスは KaZaa、電子メール、または IRC を介して配信される。
  • 感染したファイルを実行すると、ローカル システムに感染する。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足