製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Swen@MM
企業ユーザ: 低[要注意]
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4294
対応定義ファイル
(現在必要とされるバージョン)
4364 (現在7513)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Swen (AVP)
W32/Gibe.e@MM
Win32.HLLM.Gibe.2 (DialogueScience)
情報掲載日03/09/19
発見日(米国日付)03/09/18
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/27RDN/Generic ...
07/27W32/Sdbot.wo...
07/27RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7513
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--2003年10月9日更新情報--

オリジナルのウイルスに多少の修正を加えUPXで圧縮された亜種が2種追加で発見されました。それらは、定義ファイル4294以降を使うと、W32/Swen@MMもしくは、W32/Swen@MMの亜種として検出されます。

・ウイルスをW32/Swen@MMとして厳密に検出する機能は定義ファイル4297に、亜種を亜種として検出する機能は定義ファイル4298に含まれています。

・W32/Swen@MM、亜種共にファイルサイズは52,224バイトです。

--2003年9月19日更新情報--

AVERTは感染システムからこのウイルスを駆除するツール(Stinger)を公開しました。.exeファイルを実行することが出来ない場合は、こちらのfixwen.infをインストールをしてください。(ローカルのハードディスクにfixwen.infを保存し、ファイルを右クリックした後インストールを選択してください。)

--2003年9月18日更新情報--

感染が広まったため、AVERTはこのウイルスの個人危険度を中に引き上げました。


・このウイルスは、「Microsoft Security Update」であると称して、以下のような様々な仕掛けを介して繁殖を試みます。

  • 感染マシンから解凍されたウイルス自身を受信者に送信
  • 共有ネットワーク(マップされたドライブ)を通じてウイルス自身をコピー
  • KaZaa ピアツーピアネットワークを通じてウイルス自身を共有
  • IRC経由でウイルス自身を送信

・このウイルスはMSVCで書かれています。HLLは異なりますが、W32/Gibe.b@MM ウイルスと似ています。(オリジナルのGibe亜種はVisual Basicで書き込まれていました。)

・各種のセキュリティ・ウイルス対策製品のプロセスを終了させます。(下記参照)

・このウイルスは、4120以上のウイルス定義ファイルで(プログラムヒューリスティクは有効な状態)「virus or variant New Worm」として検出されます。

メール繁殖

・このウイルスは送信メッセージを構成するSMTPエンジンを内蔵しています。

・様々な送信メッセージが作成されます。ウイルスの添付ファイルがIEの脆弱点を利用するものもあります。詳しくはMicrosoft Security Bulletin (MS01-020) をご覧ください。以下のメッセージはその一例です。

件名:Returned Response
送信者:Email Delivery Service (kmailengine@yahoo.com)
本文:Undeliverable mail to (email address )

・この脆弱性を利用するために構成されたメッセージは、4215以上のウイルス定義ファイルでExploit-MIME.gen.exe(以前のExploit-MIME.gen)として検出されます。

・複数の件名と添付ファイル名が、送信メッセージ内で利用するためにウイルス内にある文字列から構成されます。ターゲットとなるメールアドレスは感染マシン上のファイルから解凍されます。

・少なくとも1つのメッセージがMicrosoft updateを装います。

共有ネットワーク繁殖

・ウイルスはマップされたネットワークドライブ上のスタートアップフォルダにウイルス自身をコピーします。ランダムに選ばれたファイル名が使用されます。

・以下のネットワークの場所がターゲットとなります。

・windows\all users\start menu\programs\startup
・ windows\start menu\programs\startup
・ winme\all users\start menu\programs\startup
・ winme\start menu\programs\startup
・ win95\all users\start menu\programs\startup
・ win95\start menu\programs\startup
・ win98\all users\start menu\programs\startup
・ win98\start menu\programs\startup
・ document and settings\all users\start menu\programs\startup
・ document and settings\default user\start menu\programs\startup
・ document and settings\administrator\start menu\programs\startup
・ winnt\profiles\all users\start menu\programs\startup
・ winnt\profiles\default user\start menu\programs\startup
・ winnt\profiles\administrator\start menu\programs\startup

IRC繁殖

・ウイルスはSCRIPT.INIファイル(123バイト)を、IRC経由(dcc送信を使用)で繁殖を試みるためにmIRCプログラムフォルダ内に落とし込みます。このファイルは事前に4149以上のウイルス定義ファイルで、MIRC/Genericとして検出されます。

ピアツーピア繁殖

・ウイルスはシステムテンポラリーディレクトリ内にランダムに選んだ名前で、ウイルス自身のコピーを作成します。以下はその例です。

・SIRCAM CLEANER.EXE
・ YAHOO HACKER.EXE
・ HALLUCINOGENIC SCREENSAVER.EXE
・etc etc

・以下のレジストリキーがKaZaaピアツーピアネットワーク経由でこれらのコピーを共有するために修正されます。

HKEY_CURRENT_USER\Software\Kazaa\LocalContent "Dir99" = 012345:C:\WINDOWS\TEMP\(ランダムに選ばれたディレクトリ名)

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のダイアログボックスが表示される。

・予期しないAV/セキュリティ製品の終了。

・感染マシン上のRegEditが起動できない。

感染方法TOPへ戻る

インストール

・ウイルスが感染マシン上で起動すると、一連の偽メッセージボックスが表示されます。

・ランダムに選んだファイル名で、ウインドウズディレクトリ内にウイルス自身をインストールします。例:C:\WINDOWS\ZNFUL.EXE

・レジストリキーがシステムスタートアップをフックするために追加されます。いかがその1例です(ランダムに選ばれる文字列、ファイル名は明確に変わります。)。

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "(random string)" = ZNFUL.EXE autorun

・様々なレジストリキーが下記のファイルタイプの実行をフックするために修正されます。

・BAT
・COM
・EXE
・PIF
・REG
・SCR

・このため、以下のレジストリキーがセットされます。

HKEY_CLASSES_ROOT\batfile\shell\open\command "(Default)" = %filename% "%1" %*

HKEY_CLASSES_ROOT\comfile\shell\open\command "(Default)" = %filename% "%1" %*

HKEY_CLASSES_ROOT\exefile\shell\open\command "(Default)" = %filename% "%1" %*

HKEY_CLASSES_ROOT\piffile\shell\open\command "(Default)" = %filename% "%1" %*

HKEY_CLASSES_ROOT\regfile\shell\open\command "(Default)" = %filename% showerror

HKEY_CLASSES_ROOT\scrfile\shell\config\command "(Default)" = %filename% "%1"

HKEY_CLASSES_ROOT\scrfile\shell\open\command "(Default)" = %filename% "%1" /S

(「%filename%」には、ウイルスがウィンドウズディレクトリ内にインストールされたときにランダムに選ばれたファイル名が入ります。)

・また、以下のファイルが落とし込まれます。

・%WinDir%\GERMS0.DBV - email addresses harvested from the victim machine are written to this file (: delimitted)

・ %WinDir%\SWEN1.DAT - list of remote servers

・別のランダムに選ばれたファイルも同様にウィンドウズディレクトリ内に落とし込まれます。落とし込まれたウイルスのコピーを立ち上げるためのバッチスクリプト(約50キロバイト)と、パス/ファイル名のデータが含まれたコンフィグファイル(100-150バイト)

・以下のレジストリキーが、感染マシン上でRegEditを実行することを防ぐために設定されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System "DisableRegistryTools" = 01 00 00 00

・上記とは別のデータが、以下のキーに保存されたレジストリに書き込まれます。

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\explorer\%random string%

・「 %random string% 」はランダムに選ばれたテキスト文字列です。

・以下の値が保存されます。

・"Install Item" = (random string used for installed copy of worm in %WinDir%) "Installed" = ... by Begbie

・ "Kazaa Infect" = yes

・ "Mirc Install Folder" = C:\Program Files\mirc

・ "Unfile" = buzf.qtq

・ "ZipName" = wqrqgd

・また、ウイルスは「MAPI32 Exception」についての偽ダイアログウィンドウを表示します。ユーザは以下のサブミットを試みます。

・ログイン名/パスワード

・メールアドレス

・SMTPサーバ

・POP3サーバ

プロセス終了

・ウイルスは感染マシン上の様々なプロセスを終了させます。興味深いことに、リストには「gibe」が含まれています。

・_avp
・ackwin32
・amserv
・anti-troj
・aplica32
・apvxdwin
・ autodown
・ avconsol
・ ave32
・ avgcc32
・ avgctrl
・ avgw
・ avkserv
・ avnt
・ avp
・ avsched32
・ avwin95
・ avwupd32
・ blackd
・ blackice
・ bootwarn
・ ccapp
・ ccshtdwn
・ cfiadmi
・ cfiaudit
・ cfind
・ cfinet
・ claw95
・ dv95
・ ecengine
・ efinet32
・ esafe
・ espwatch
・ f-agnt95
・ f-prot
・ f-prot95
・ f-stopw
・ findviru
・ fp-win
・ fprot
・ fprot95
・ frw
・ gibe
・ iamapp
・ ibmasn
・ ibmavsp
・ icload95
・ icloadnt
・ icmon
・ icmoon
・ icssuppnt
・ icsupp
・ iface
・ iomon98
・ jedi
・ kpfw32
・ lockdown2000
・ lookout
・ lu32
・ luall
・ moolive
・ mpftray
・ msconfig
・ nai_vs_stat
・ nav
・ navapw32
・ navnt
・ navsched
・ navw
・ nisum
・ nmain
・ normist
・ nupdate
・ nupgrade
・ nvc95
・ outpost
・ padmin
・ pavcl
・ pavsched
・ pavw
・ pcciomon
・ pccmain
・ pccwin98
・ pcfwallicon
・ persfw
・ pop3trap
・ rav
・ regedit
・ rescue
・ safeweb
・ serv95
・ sphinx
・ sweep
・ tca
・ tds2
・ vcleaner
・ vcontrol
・ vet32
・ vet95
・ vet98
・ vettray
・ view
・ vscan
・ vsecomr
・ vshwin32
・ vsstat
・ webtrap
・ wfindv32
・ zapro
・ zonealarm

・ウイルス起動時に、これらのプロセスのうちの1つがスタートした場合、偽エラーメッセージ「Memory access violation in module kernel32 at (number)」が表示されます。

感染カウンター

・ウイルスが感染マシン上で起動すると、ウイルスは感染カウンターとしての役目を持つリモートページ用のHTTPリクエストを発行します。

駆除方法TOPへ戻る

・上記の通りW32/Swen@MMはREGEDIT.EXEを実行不能にします。

・このUNDO.REGツールを使うと、ウイルスによって改変された箇所が元通りになり、ユーザがREGEDIT.EXEを通常通りに使えるようになります。

・指定のエンジンとウイルス定義ファイルを使って駆除すると、BAT,COM,PIF,SCRファイルの実行をフックするためにレジストリに加えられた改変は(上に詳しく説明していますが)、削除されます。手動にて駆除する場合は、これらのフックもUNDO.REGファイルが対応します。