ウイルス情報

ウイルス名 危険度

W32/Pandem.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4281
対応定義ファイル
(現在必要とされるバージョン)
4289 (現在7628)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Pandem.B.Worm: W32.Squirm@mm
情報掲載日 03/09/03
発見日(米国日付) 03/07/20
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・この情報掲載時点では、W32/Pandem.wormに2つの亜種が存在することがわかっています。どちらの亜種もMSVCで作成され、PEBundleで圧縮されています。

・後から発見された亜種(b亜種、2003年8月20日発見)を検出するには、定義ファイル4289が必要です。

・W32/Pandem.wormは以下の方法で繁殖します。

  • 電子メール:Outlookのアドレス帳にある宛先に自身を送信
  • ピアツーピア:一般的なピアツーピアファイル共有ネットワーク関連フォルダに、ユーザの注意を引くファイル名で自身をコピー
  • IRC:DCC送信を実行するスクリプトをドロップ(作成)する(b亜種のみ)

・以下の情報は、b亜種についてです。

インストール

・W32/Pandem.wormが実行されると、以下のタスクを実行します。

  • 偽のメッセージボックスを表示します。
  • 一時的に、ポート61282を開きます。
  • “OK”をクリックすると、別のダイアログボックスを表示します。
  • 以下のファイルを落とし込みます。
    • %Windir%\CPUMGR.DLL(82,640バイト):patch_329390.exeというファイル名のワームのコピーを含む、UUエンコードされたZIPアーカイブ(patch.zip)
    • %Windir%\CPUMGR.EXE(104,448バイト):ワームのコピー
    • %Windir%\PDMN.SMT:設定ファイル
    • %Windir%\PHOTO.ZIP(58,992バイト):cool.scrというファイル名のワームのコピーを含むZIPアーカイブ
    • %Sysdir%\ZLIB.DLL(53,248バイト):無害な圧縮ライブラリ
      (%Windir%は、Windowsディレクトリです。%Sysdir%は、Windows Systemディレクトリです。)

  • 以下のレジストリキーを追加して、システムの起動をフックします。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      "CPU Manager" = %Windir%\CPUMGR.EXE

  • 以下のレジストリキーも追加します。レジストリキー値は、“Low”、または“High”に設定されています。
    • HKEY_CURRENT_USER\Software\Microsoft\Windows "Type"
  • www.google.comに接続します(インターネット接続を確認するためと考えられます)。

電子メールを介した繁殖

・以下のような電子メールメッセージを作成します。

送信者: support@microsoft.com

件名: Microsoft Security Bulletin

本文:
Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390)

Summary Who should read this bulletin: Customers using Microsoft ? Windows ? 95,98,2K,ME,XP

Impact of vulnerability: Run code of an attacker's choice

Maximum Severity Rating: Critical

Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately.

添付ファイル:ワーム内のコードから、添付ファイルはPATCH.ZIP、またはPATCH_329390.EXEのいずれかであると考えられます。現在分析中なので、分析終了後に情報を更新します。

ピアツーピア繁殖

・一般的なピアツーピアアプリケーション関連フォルダに、ユーザの注意を引くファイル名で自身のコピーを作成します。

  • Connection Booster.exe
  • Cracker Game.exe
  • Cracks Collections.exe
  • Hacker.scr
  • Hotmail Hack.exe
  • ICQ Hack.exe
  • Matrix Reloaded.scr
  • Norton keygen-All vers.exe
  • Serials Collections.exe
  • Simpsons.exe
  • XXX Virtual Sex.scr
  • credit card.exe

・以下のフォルダにコピーを作成します(フォルダが存在する場合)。

  • c:\program files\BearShare\Shared\
  • c:\program files\KMD\my shared folder\
  • c:\program files\KaZaa Lite\My Shared Folder\
  • c:\program files\KaZaa\My Shared Folder\
  • c:\program files\Morpheus\my shared folder\
  • c:\program files\direct connect\received files\
  • c:\program files\gnucleus\downloads\
  • c:\program files\gnucleus\downloads\
  • c:\program files\gnucleus\downloads\
  • c:\program files\gnucleus\downloads\incoming\
  • c:\program files\grokster\my grokster\
  • c:\program files\icq\shared files\
  • c:\program files\limeWire\shared\

IRC繁殖

・DCC送信を実行するスクリプトを落とし込んで、IRCユーザ間で繁殖します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のレジストリキーとファイルが存在します。

・上記の電子メールメッセージを送信します。

TOPへ戻る

感染方法

・W32/Pandem.wormは、電子メール、ピアツーピアネットワーク、およびIRC(DCC送信)を介して繁殖します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る