ウイルス情報

ウイルス名 危険度

W32/Saros@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4385
対応定義ファイル
(現在必要とされるバージョン)
4385 (現在7656)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/08/06
発見日(米国日付) 04/08/05
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Saros@MMは大量メール送信型ワームで、P2PネットワークおよびIRCを介しても繁殖します。

インストール

・W32/Saros@MMを実行すると、以下のメッセージボックスが表示されます。



・また、以下の名前を使用して、Windowsのシステムディレクトリに自身をコピーします。

  • Love-ScreenSaver.scr
  • MSOutlookInternetUpdate.exe
  • NonYou.exe
・さらに、Windowsのシステムディレクトリに以下のファイルをドロップ(作成)します。
  • nstdnrdll32.vbs(1,765バイト)
  • About.hta(738バイト)
VBSファイルは大量メール送信に使用され、VBS/Generic@MMとして検出されます。 HTAファイルには悪意のあるコードは格納されておらず、以下のテキストのみが格納されています。

・VBSファイルは以下のレジストリ項目を作成します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\nldr32 "(Default)" = %SysDir% \NonYou.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\wincomp32 "(Default)" = %SysDir% \nstdnrdll32.vbs
  • HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Security "Level1Remove" = exe
  • HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Outlook\Security "Level1Remove" = exe
  • HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Security "Level1Remove" = exe
・最初の2項目は起動時にW32/Sarosを再度実行し、大量メール送信を開始するためのものです。残りの項目はOutlookのEXEファイルのブロック機能を無効にするためのものです。

電子メールを介した繁殖

・VBSファイルが作成する電子メールの特徴は以下のとおりです。

件名 - Microsoft Outlook News
本文 - Microsoft Outlook Update / Bug Fixed - Contact: support@microsoft.com
添付ファイル - MSOutlookInternetUpdate.exe

ピアツーピアを介した繁殖

・W32/Saros@MMは、以下のとおり、さまざまなアプリケーションの共有フォルダに自身をコピーします。

  • %ProgramDir% \Bearshare\Shared\
  • %ProgramDir% \Edonkey2000\Incoming\
  • %ProgramDir% \eMule\Incoming\
  • %ProgramDir% \Grokster\My Grokster\
  • %ProgramDir% \kazaa\my shared folder\
  • %ProgramDir% \KaZaA Lite\My Shared Folder\
  • %ProgramDir% \Kazaa Lite K++\My Shared Folder\
  • %ProgramDir% \LimeWire\Shared\
  • %ProgramDir% \Morpheus\My Shared Folder\
  • %ProgramDir% \WinMX\Shared\
  • %ProgramDir% \Tesla\Files\
  • %ProgramDir% \ICQ\Shared Folder\
・その際、以下の名前を使用します。
  • 50 Cent - In da Club.mp3.exe
  • Anastacia - Left Outside Alone.mp3.exe
  • Black Eyed Peas - Hey Mama.mp3.exe
  • Haiducii - Dragostea Din Tei.mp3.exe
  • Lionel Richie - Just For You.mp3.exe
  • Pipponoto.exe
  • Raf - In tutti i miei giorni.mp3.exe
  • Rosy.exe
  • The Rasmus - In The Shadows.mp3.exe
  • Vanessa Carltron - Ordinary Day.mp3.exe
  • Vasco Rossi - Buoni e cattivi.mp3.exe

IRCを介した繁殖

mIRCディレクトリに、tdll32.dllがドロップされます。tdll32.dllは同じIRCチャネル内の別のユーザーにウイルスを送信するスクリプトを含んでいます。mIRCが起動したときにそのスクリプトを読み込むように、MIRC.INIファイルにこのファイルへの参照を追加します。

IRC によって作成されるメッセージの特徴は以下のとおりです。

IRC メッセージ - Love Screen Saver :-D Download it! It's funny! (Remote website address removed)
添付ファイル - Love-ScreenSaver.scr

TDLL32.DLL ファイルは現行のウイルス定義ファイルで、MIRC/Generic として検出されます。

日付起動型の発病ルーチン

日付が11日もしくは23日になると、Internet Explorer のホームページをウイルスを作成したグループのウェブサイトへ改変します。
また、About.htaファイルを表示するためにブラウザを開き、下記のメッセージボックスを表示します。これら現象はシステムを起動するたびに発生します。



TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のレジストリ項目、ファイル、メッセージボックスが存在します。

TOPへ戻る

感染方法

・W32/Saros@MMは電子メール、P2Pネットワーク、IRCを介して繁殖します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る