製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Saros@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4385
対応定義ファイル
(現在必要とされるバージョン)
4385 (現在7401)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日04/08/06
発見日(米国日付)04/08/05
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
・W32/Saros@MMは大量メール送信型ワームで、P2PネットワークおよびIRCを介しても繁殖します。

インストール

・W32/Saros@MMを実行すると、以下のメッセージボックスが表示されます。



・また、以下の名前を使用して、Windowsのシステムディレクトリに自身をコピーします。

  • Love-ScreenSaver.scr
  • MSOutlookInternetUpdate.exe
  • NonYou.exe
・さらに、Windowsのシステムディレクトリに以下のファイルをドロップ(作成)します。
  • nstdnrdll32.vbs(1,765バイト)
  • About.hta(738バイト)
VBSファイルは大量メール送信に使用され、VBS/Generic@MMとして検出されます。 HTAファイルには悪意のあるコードは格納されておらず、以下のテキストのみが格納されています。

・VBSファイルは以下のレジストリ項目を作成します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\nldr32 "(Default)" = %SysDir% \NonYou.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\wincomp32 "(Default)" = %SysDir% \nstdnrdll32.vbs
  • HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Security "Level1Remove" = exe
  • HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Outlook\Security "Level1Remove" = exe
  • HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Security "Level1Remove" = exe
・最初の2項目は起動時にW32/Sarosを再度実行し、大量メール送信を開始するためのものです。残りの項目はOutlookのEXEファイルのブロック機能を無効にするためのものです。

電子メールを介した繁殖

・VBSファイルが作成する電子メールの特徴は以下のとおりです。

件名 - Microsoft Outlook News
本文 - Microsoft Outlook Update / Bug Fixed - Contact: support@microsoft.com
添付ファイル - MSOutlookInternetUpdate.exe

ピアツーピアを介した繁殖

・W32/Saros@MMは、以下のとおり、さまざまなアプリケーションの共有フォルダに自身をコピーします。

  • %ProgramDir% \Bearshare\Shared\
  • %ProgramDir% \Edonkey2000\Incoming\
  • %ProgramDir% \eMule\Incoming\
  • %ProgramDir% \Grokster\My Grokster\
  • %ProgramDir% \kazaa\my shared folder\
  • %ProgramDir% \KaZaA Lite\My Shared Folder\
  • %ProgramDir% \Kazaa Lite K++\My Shared Folder\
  • %ProgramDir% \LimeWire\Shared\
  • %ProgramDir% \Morpheus\My Shared Folder\
  • %ProgramDir% \WinMX\Shared\
  • %ProgramDir% \Tesla\Files\
  • %ProgramDir% \ICQ\Shared Folder\
・その際、以下の名前を使用します。
  • 50 Cent - In da Club.mp3.exe
  • Anastacia - Left Outside Alone.mp3.exe
  • Black Eyed Peas - Hey Mama.mp3.exe
  • Haiducii - Dragostea Din Tei.mp3.exe
  • Lionel Richie - Just For You.mp3.exe
  • Pipponoto.exe
  • Raf - In tutti i miei giorni.mp3.exe
  • Rosy.exe
  • The Rasmus - In The Shadows.mp3.exe
  • Vanessa Carltron - Ordinary Day.mp3.exe
  • Vasco Rossi - Buoni e cattivi.mp3.exe

IRCを介した繁殖

mIRCディレクトリに、tdll32.dllがドロップされます。tdll32.dllは同じIRCチャネル内の別のユーザーにウイルスを送信するスクリプトを含んでいます。mIRCが起動したときにそのスクリプトを読み込むように、MIRC.INIファイルにこのファイルへの参照を追加します。

IRC によって作成されるメッセージの特徴は以下のとおりです。

IRC メッセージ - Love Screen Saver :-D Download it! It's funny! (Remote website address removed)
添付ファイル - Love-ScreenSaver.scr

TDLL32.DLL ファイルは現行のウイルス定義ファイルで、MIRC/Generic として検出されます。

日付起動型の発病ルーチン

日付が11日もしくは23日になると、Internet Explorer のホームページをウイルスを作成したグループのウェブサイトへ改変します。
また、About.htaファイルを表示するためにブラウザを開き、下記のメッセージボックスを表示します。これら現象はシステムを起動するたびに発生します。



以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のレジストリ項目、ファイル、メッセージボックスが存在します。

感染方法TOPへ戻る
・W32/Saros@MMは電子メール、P2Pネットワーク、IRCを介して繁殖します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足