製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
W32/Plexus@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4365
対応定義ファイル
(現在必要とされるバージョン)
4365 (現在7562)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Plexus.a (Kaspersky)
W32.Explet.A@mm (Symantec)
情報掲載日04/06/04
発見日(米国日付)04/06/03
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/14RDN/Obfuscat...
09/14RDN/GenericA...
09/14RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7562
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
-- 2004年6月3日更新 --

http://www.techweb.com/wire/story/TWB20040603S0007にマスコミの注目が集まったため、危険度を[低(要注意)]に変更しました。

・このウイルスには、4365定義ファイルで対応いたします。4365定義ファイルは04/06/10に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。


・W32/Plexus@MMは以下の方法で繁殖します。
  • Microsoft Windowsのセキュリティホール[MS04-011の脆弱性(CAN-2003-0533)'LSASS']を利用
  • RPCインタフェースバッファオーバーフロー(7.17.03)の脆弱性[MS03-026]を利用
  • ターゲットマシンから収集した電子メールアドレスに自身を送信(差出人のアドレスを擬装)
  • 自身をネットワーク全体にコピー

・第1の方法による繁殖を防止するため、ユーザはW32/Plexus@MMが利用するセキュリティホールに対するMicrosoft Windowsのセキュリティ修正プログラムをインストールする必要があります。詳細については、以下のURLを参照してください。

http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp

電子メールを介した繁殖

・W32/Plexus@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。ターゲットの電子メールアドレスは、ターゲットマシン上のローカルおよびマップされたドライブのファイルから収集されます。以下の拡張子を持つファイルがターゲットになります。

  • htm
  • html
  • php
  • tbb
  • txt

送信されたメッセージの差出人のアドレスを擬装します(メッセージの文字列、またはターゲットマシンから収集した電子メールアドレスを使用)。

・W32/Plexus@MMは、特定の電子メールアドレスをターゲットリストから除外します。本文に含まれる文字列を含むアドレスには自身を送信しません。

・送信メッセージの特徴は以下のとおりです。

件名:以下の件名を使用
  • RE: order
  • Good offer.
  • For you
  • RE:
  • Hi, Mike
添付ファイル:以下のファイル名を持つファイルを添付
  • SecUNCE.exe
  • AtlantI.exe
  • AGen1.03.exe
  • demo.exe
  • release.exe
本文:以下のいずれか
  • Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
  • Hi, my darling :)
    Look at my new screensaver. I hope you will enjoy... Your Liza
  • Hi. Here is the archive with those information, you asked me. And don't forget it is strongly confidential!!! Seya, man.
    P.S. Don't forget my fee ;)
  • My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :)
    And please do not distribute it. It's private.
  • Hi, Nick. In this archive you can find all those things, you asked me.
    See you, Steve.

共有を介した繁殖

・W32/Plexus@MMは、以下のファイル名で、利用可能なネットワークリソース、KaZaa共有フォルダに自身をコピーします。
  • AVP5.xcrack.exe
  • ICQBomber.exe
  • hx00def.exe
  • InternetOptimizer1.05b.exe
  • Shrek_2.exe
  • UnNukeit9xNTICQ04noimageCrk.exe
  • YahooDBMails.exe

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・W32/Plexus@MMは、特定のウイルス対策製品のアップデートを阻止するため、ローカルのホストファイルを上書きします。上記のウイルス定義ファイルでは、上書きされたホストファイルはW32/Plexus@MM!として検出されます。

インストール

・W32/Plexus@MMは、ターゲットマシンのSystemディレクトリにUPU.EXEとして自身をインストールします。

例:
  • C:\WINNT\SYSTEM32\UPU.EXE
・また、システムの起動時にW32/Plexus@MMを実行するレジストリキーも設定します。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "NvClipRsv" = C:\WINNT\SYSTEM32\UPU.EXE
・W32/Plexus@MMはターゲットマシンのポート1250(TCP)およびその他のランダムなポートを開きます。

・W32/Plexus@MMのMS04-011の脆弱性を利用した繁殖の副作用として、ターゲットマシン上のLSASS.EXEがクラッシュします。クラッシュが起きると、以下のウィンドウが表示され、システムが再起動する場合があります。

感染方法TOPへ戻る
・W32/Plexus@MMは、自身の大量送信、2つの広く知られているWindowsの脆弱性、ネットワーク共有、KaZaa P2Pネットワークにより繁殖します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足