製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
W32/Pandem.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4281
対応定義ファイル
(現在必要とされるバージョン)
4289 (現在7507)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Pandem.B.Worm: W32.Squirm@mm
情報掲載日03/09/03
発見日(米国日付)03/07/20
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/21Generic.tfr!...
07/21RDN/Generic ...
07/21Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7507
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・この情報掲載時点では、W32/Pandem.wormに2つの亜種が存在することがわかっています。どちらの亜種もMSVCで作成され、PEBundleで圧縮されています。

・後から発見された亜種(b亜種、2003年8月20日発見)を検出するには、定義ファイル4289が必要です。

・W32/Pandem.wormは以下の方法で繁殖します。

  • 電子メール:Outlookのアドレス帳にある宛先に自身を送信
  • ピアツーピア:一般的なピアツーピアファイル共有ネットワーク関連フォルダに、ユーザの注意を引くファイル名で自身をコピー
  • IRC:DCC送信を実行するスクリプトをドロップ(作成)する(b亜種のみ)

・以下の情報は、b亜種についてです。

インストール

・W32/Pandem.wormが実行されると、以下のタスクを実行します。

  • 偽のメッセージボックスを表示します。
  • 一時的に、ポート61282を開きます。
  • “OK”をクリックすると、別のダイアログボックスを表示します。
  • 以下のファイルを落とし込みます。
    • %Windir%\CPUMGR.DLL(82,640バイト):patch_329390.exeというファイル名のワームのコピーを含む、UUエンコードされたZIPアーカイブ(patch.zip)
    • %Windir%\CPUMGR.EXE(104,448バイト):ワームのコピー
    • %Windir%\PDMN.SMT:設定ファイル
    • %Windir%\PHOTO.ZIP(58,992バイト):cool.scrというファイル名のワームのコピーを含むZIPアーカイブ
    • %Sysdir%\ZLIB.DLL(53,248バイト):無害な圧縮ライブラリ
      (%Windir%は、Windowsディレクトリです。%Sysdir%は、Windows Systemディレクトリです。)

  • 以下のレジストリキーを追加して、システムの起動をフックします。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      "CPU Manager" = %Windir%\CPUMGR.EXE

  • 以下のレジストリキーも追加します。レジストリキー値は、“Low”、または“High”に設定されています。
    • HKEY_CURRENT_USER\Software\Microsoft\Windows "Type"
  • www.google.comに接続します(インターネット接続を確認するためと考えられます)。

電子メールを介した繁殖

・以下のような電子メールメッセージを作成します。

送信者: support@microsoft.com

件名: Microsoft Security Bulletin

本文:
Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390)

Summary Who should read this bulletin: Customers using Microsoft ? Windows ? 95,98,2K,ME,XP

Impact of vulnerability: Run code of an attacker's choice

Maximum Severity Rating: Critical

Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately.

添付ファイル:ワーム内のコードから、添付ファイルはPATCH.ZIP、またはPATCH_329390.EXEのいずれかであると考えられます。現在分析中なので、分析終了後に情報を更新します。

ピアツーピア繁殖

・一般的なピアツーピアアプリケーション関連フォルダに、ユーザの注意を引くファイル名で自身のコピーを作成します。

  • Connection Booster.exe
  • Cracker Game.exe
  • Cracks Collections.exe
  • Hacker.scr
  • Hotmail Hack.exe
  • ICQ Hack.exe
  • Matrix Reloaded.scr
  • Norton keygen-All vers.exe
  • Serials Collections.exe
  • Simpsons.exe
  • XXX Virtual Sex.scr
  • credit card.exe

・以下のフォルダにコピーを作成します(フォルダが存在する場合)。

  • c:\program files\BearShare\Shared\
  • c:\program files\KMD\my shared folder\
  • c:\program files\KaZaa Lite\My Shared Folder\
  • c:\program files\KaZaa\My Shared Folder\
  • c:\program files\Morpheus\my shared folder\
  • c:\program files\direct connect\received files\
  • c:\program files\gnucleus\downloads\
  • c:\program files\gnucleus\downloads\
  • c:\program files\gnucleus\downloads\
  • c:\program files\gnucleus\downloads\incoming\
  • c:\program files\grokster\my grokster\
  • c:\program files\icq\shared files\
  • c:\program files\limeWire\shared\

IRC繁殖

・DCC送信を実行するスクリプトを落とし込んで、IRCユーザ間で繁殖します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のレジストリキーとファイルが存在します。

・上記の電子メールメッセージを送信します。

感染方法TOPへ戻る
・W32/Pandem.wormは、電子メール、ピアツーピアネットワーク、およびIRC(DCC送信)を介して繁殖します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足