ウイルス情報

ウイルス名 危険度

W32/Oror.b@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4231
対応定義ファイル
(現在必要とされるバージョン)
4272 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Oror.12
W32/Oror.C (Panda)
WORM_OROR.A (Trend)
情報掲載日 02/11/08
発見日(米国日付) 02/11/06
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • W32/Oror.b@MM は大量メール送信型ウイルスで、mIRC、KaZaa、共有ネットワーク、およびマップ ドライブを介しても繁殖します。
  • このウイルスは SMTP 電子メールおよび MAPI 電子メールの両方を利用します。このウイルスは mIRC ボット スクリプトを落とし込み、ウィンドウも閉じて、特定のセキュリティ ソフトウェア ファイルやファイアウォール プログラムを削除します。
  • このウイルスが実行されると、以下の偽のエラー メッセージが表示されます。

  • このウイルスは以下の情報をランダムに含む電子メール メッセージで配信される可能性があります。

    件名下記のいずれか
    • Zdrasti
    • Ohoo
    • Ei dupe
    • ZzZz
    • Vajno
    • Bla Bla
    • HeY
    • BlaBla
    • yoOo
    • Wow
    • Hi
    本文下記のいずれか
    • Hey you!! Wasssssssuppppppp :)))) Where are you? What are you doing? I've just got high in the sky, my oh my :)) It's like I don't care about nothing man :)) sMiLe :oP~pPPPpp I send you a sexy, little thing :)) Everything is just an illusion. Believe me.. It's time to say goodbye now.. See you
    • Hello :>> How are you? What're you doing :) Do you have Blade 2? I've just watched it twice, it's marvellous! You can't guess what I've found.. A working Credit Card generator :))) I purchased a bride from Russia yesterday :) LoL.. I gave a fake address of course :))) Promise me not to send it to anybody! Don't go too far and watch out :)) Bye..
    • YoOo :)) What a nice day, what a nice time :) What a nice world :)) Do you have Blade 2? I've just watched it twice, it's marvellous! lol ~pPp Do you have any ATC's mp3z? CooL :))) I've found them with this program, it's like Napster, but it's legal :)) P.S. Download ATC - Why oh why.mp3 !!! Bye ~~~~ppPpP ;)
    • There is a new, dangerous virus in the net. It's called Roro and it's using IRC to infect computers. The virus deletes movies, music and system files. To prevent from infecting, install McAfee Anti-Script 2002. It's a 30-days demo.. So, how are you? Good, Bad? I'm oK. I wanted to write you a longer letter, but i didn't have enough time.. sorry. Bye
    • Hey :) Wasupp ~Pp I wanted to write you a letter, but i didn't know what to talk about actually :) Have you ever done an IQ test, i've just scored 120 points :) I'm not sure if this is good or bad, who cares :) Have you visited %s :) Finally, how are you:) i'll be very happy if you send me 1,2 funny cards :)))) bye! :)
    • Hi buddy, what's up :)) I've only wanted to remind you not to forget about our little, dirty secret :) And don't tell anybody :Ppp. Have you seen this site - %s c00l :) Leave this away, how are you? Send me sth cool, plzz :)
    • HeY.. Buddz what'z up :) How are you? I'm fine, 10x!! My friend Nina is here and we are.. You know :) Lalala !! Be happy, don't worry ~pPp. Btw check this site - %s, it's fresh :)) I'm a little drunk and i've gotta go now !! Wish me luck :)) Cya
    • Hi, kak e :) ko si praikash? az si slusham muzichka - ATC i Mortal Kombat Soundtrack - Varhovni sa, napravo izbuhnah :))) Drapnah si gi ot neta s taq programka - ima 200 kubriliona klasacii :) Naposledak muzikata e edno ot malkoto mi udovolstviq P.S. Obezatelno si drapni ATC - Why oh why.mp3 :))Chao, doskoro!!
    • Ima nov opasen virus v neta! Razprostranqva se predimno po IRC i ICQ. Vnimavai da ne se zarazish, zashtoto iztriva Mp3-ki, Filmi i Dokumenti. Izpratih ti patch, koito shte te pazi ot zarazqvane. Iskah da napisha po-dulgo pismo, no nqmah vreme, sorka.. Naposledak imam adski mnogo rabota nalqvo nadqsno :)) Inache kak varvi? Chao i watch out :)))
    • Zdrasti, kak q karash :) az sam dobre, makar che naposledak imam malko problemi. Tvarde mnogo mi se strupa navednaj, udarih si rakata ei sq i mnogo me boli.. Kakvo da se pravi, takav e jivota.. Vchera namerih nqkav generator na kreditni karti i mai bachka, samo edin put go probvah ama stana, vij dali pri teb sha raboti i umnata :) Ai doskoro :)) Chao ti
    • Zdr, izpratih na vsichki edna programka, mnoo qka, btw to imeto si pokazva. Subject-a e ot tam i ima i drugi mnogo qki misli. Moje da pokaje nai-podhodqshtiq partnior v liubofta :)) Ujasno e kak liubofta moje da ubie vsichko v teb.. Za shtastie ne vinagi e taka :) Inache nishto novo, karam q nqkak.. Sega trqbva da izlizq za malko tai che bye :))
    • Zdrasti :)) Nqma da povqrvash kakvo mi se sluchi neska :) Vidqh Slavi Trifonov i nqkvi mnoo qki madami s nego :))) Ko shi kaish a? Misleh da mu iskam avtograf ama me dosramq :(( Karai, drug pat ~pP. Begai na %s :) Malko e stranen, no ne e losh. Hmm, ti ko praish? Pishi mi :) Chao
    • Zdravei, zdrasti, dai pari za pasti :)) Ko praish? Za teb neznam ama v momenta se chustvam mnoo qko i reshih da ti pisha :) Kolko ti e rekorda na minichkite? Toku shto na Expert razminirah za 2 minuti :))) Ei sq smqtam da si vzema nqkoi qk film i da gledam. Hodil li si na %s - Mnoo me kefi :)) Za drugo ne se seshtam tai che chao za sega :))
    • Hey, kak varvi, neshto novo ima li :) Adski mi sa spi, daje ei sq smqtam da si legna ama purvo shte si vzema edin dush :)) Skoro shti pratq onva deto obeshtah, za sq mojesh da hvarlish edno oko na %s - ako imash nqkvi predlojeniq, komentari ili kakvoto i da e pishi mi :)) Aide doskoro i umnata ~pPp
    添付ファイル下記のいずれか

    • [TNT] Gen.exe
    • Setup.exe
    • mTV Charts.exe
    • Worm Guard.exe
    • Love Zodiak.exe
    を含むことがあります。

    このウイルスは、以下のファイルを KaZaa 共有フォルダにドロップ(作成)することもあります。

    • Password Recovery v4.5.exe
    • Star Craft 2 Trailer.exe
    • WWF!!_The_ROCK(sHOw).exe
    • cRedit CarDs gEn v1.2.exe
    • WinZip 8.2 (Cracked).exe
    • GTA 3 Bonus Cars.exe
    • Eminem Desktop.exe
    • DMX tHeMe (full).exe
    • NFS 5 Bonus Cars.exe
    • Counter Strike 1.5 (Editor).exe
    • Madonna - My Life (Review).exe
    • DivX 5.4 Bundle.exe
    • KaZaA Media Desktop v1.8.3.exe
    • Win XP key gen 2.1B.exe
    • Serials 2002 Update.exe

    このウイルスは、例えば以下のように既存のフォルダ名の後に16、32、または98を付けたファイル名で、自身の複数のコピーを落とし込みます。  

    • C:\Program Files\Online Services = C:\Program Files\Online Services\Online Services 98.exe

    次に、この落とし込んだファイルのレジストリ実行キーを作成します。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Online Services = C:\Program Files\Online Services\Online Services 98.exe

    上記の操作は、%Program Files% フォルダ内のいずれかのフォルダに起こることがあります。同様の方法で、ウイルスは WINDOWS SYSTEM(%SysDir%) フォルダにある DLL ファイルの名前を使用し、この名前で自身をコピーして、このファイルの WIN.INI 実行キーを作成します。

    • run=C:\WINDOWS\SYSTEM\MSPRINT 98.exe

    このウイルスは MIRC ファイル(mirc.ini、remotes.ini、controls.ini、versions.ini、notes.ini、url.ini、version.ini)を上書きし、IRC ボットを作成します。このボットにより、リモート攻撃者は感染したシステムを使用して以下のような操作を行うことができます。

    • IRCチャネルへのログオン
    • ファイルのアップロード/ダウンロード
    • サービス拒否攻撃の開始
    • webサイトへのアクセス
    • SMTPを介したウイルスの大量メール送信

    注: mIRC ボットを介したメール大量送信のコマンドが出されると、ウイルスは Microsoft Internet Explorer(SP2にアップデートされていないver 5.01と5.5)の、不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)を利用します。これにより、脆弱な Outlook のクライアントで単に電子メールメッセージを見るだけでウイルスが実行されます。Gateway スキャナでは、定義ファイル 4213 以降を使用して、この脆弱性を利用するサンプルを Exploit-MIME.gen. または Exploit-MIME.gen.exe として検出します。

    W32/Oror.b@MM は、Windows ディレクトリに自身を Rundll16.exe としてコピーし、以下のようにレジストリ設定を改変します。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\LoadCurrentProfile ="Rundll16.exe powprof.dll,LoadCurrentUserProfile"

    このウイルスは、以下のいずれかの文字列を含むタイトルのウィンドウを閉じることがあります。

    • black
    • panda
    • shield
    • guard
    • scan
    • mcafee
    • nai_vs_stat
    • iomon
    • navap
    • avp
    • alarm
    • f-prot
    • secure
    • labs
    • antivir

    また、このウイルスは以下のいずれかの文字列を含むフォルダおよびサブフォルダを検索し、これらのフォルダと中に含まれるファイルを削除します。

    • "virus"および"norton"
    • "ice"および"black"
    • pc
    • cillin
    • mcafee
    • "labs"および"zone"
    • guard
    • worm
    • antivir
    • f-secure
    • f-prot
    • kaspers
    • avp
    • panda

    TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルが存在する。

TOPへ戻る

感染方法

  • このウイルスは KaZaa、電子メール、または IRC を介して配信される。
  • 感染したファイルを実行すると、ローカル システムに感染する。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る