製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:T
ウイルス情報
ウイルス名危険度
W32/Torvil.d@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4299
対応定義ファイル
(現在必要とされるバージョン)
4299 (現在7607)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Torvil.d (AVP) :W32.HLLW.Torvil@mm (Symantec)
情報掲載日03/10/21
発見日(米国日付)03/10/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Torvil.d@MMは、定義ファイル4250〜4298でプログラムヒューリスティックを有効にして圧縮ファイルをスキャンすると、New Malware.bとして検出されます。

・W32/Torvil.d@MMは大量メール送信型ワームで、電子メール、開かれたファイル共有、 Usenetニュースグループ、ピアツーピアファイル共有アプリケーション、およびインターネットリレーチャット(IRC)を介して繁殖すると考えられます。また、セキュリティソフトウェアを終了させ、MS02-015の脆弱性を悪用します。

・W32/Torvil.d@MMは、さまざまな件名、本文、添付ファイルのついた電子メールで届きます。送信者アドレスは偽造されています。メッセージは以下のとおりです。

差出人:security@microsoft.com
添付ファイル:Q723523_W9X_WXP_x86_EN.exe

・以下は添付される可能性のあるファイルです

●attachment.zip
●document.doc.pif
●document1.doc.pif
●flt-ixb23.zip
●flt-xb5.rar.pif
●message.zip
●probsolv.doc.pif
●Q723523_W9X_WXP_x86_EN
.exe ●readit.doc.pif
●sexinthecity.scr
●sexy.jpg
●torvil.pif
●win$hitrulez.pif
●yourwin.bat


・この添付ファイルが実行されると、以下のダイアログボックスを表示します。

・Exitボタンがクリックされると、ウイルスは自身をインストールして、ダイアログボックスは消えます。Patchボタンがクリックされると、インストールシミュレーションをして、別のメッセージボックスを表示します。

・“spool”の後にランダムな2文字、さらにその後に.exe拡張子を追加したファイル名でWINDOWSディレクトリに自身のコピーを作成します。以下のレジストリキーを作成して、システムの起動時にこのファイルを読み込みます。

●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "Service Host" = %WinDir%\spool (random characters) .exe

・WIN.INI実行キーも作成して、ワームを読み込みます。Windows Nt/2000/XPシステムでは、以下のキーが設定されます。

●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = Explorer.exe spool (ランダムな文字) .exe

・以下のパラメータを使用するサービスとして自身をインストールします。

●HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ TORVIL
○Description = Provides Local Access to the Registry
○DisplayName = System Registry Service
○ImagePath = (path to worm) xStartOurNiceServicesYes

・.bat、.cmd、.com、.exe、.pif、および.scr拡張子のファイルが実行されるたびに、このワームを自動実行するように、以下のレジストリキーを改変します。

●HKEY_CLASSES_ROOT\batfile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" %*
●HKEY_CLASSES_ROOT\cmdfile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" %*
●HKEY_CLASSES_ROOT\comfile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" %*
●HKEY_CLASSES_ROOT\exefile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" %*
●HKEY_CLASSES_ROOT\piffile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" %*
●HKEY_CLASSES_ROOT\scrfile\shell\open\command "(デフォルト)" = C:\WINNT\svchost.exe "%1" /S

・さらに以下のレジストリキーも作成して、システムファイルを隠し、レジストリの編集を不能にします。また、ワームが自身の進行を追跡できるようにします。

●HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced "ShowSuperHidden"=0
●HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System "DisableRegistryTools"=1
●HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System "DisableRegistryTools"=1
●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\OneLevelDeeper

・Windowsディレクトリに以下の2つのファイルを作成して、繁殖活動に使用します。

●message.dat(85,478バイト):MIMEエンコードされているウイルスの本体
●message.htm(86,297バイト):MIMEエンコードされているウイルスの本体(MS02-015のエクスプロイトコードを後方に追加)

・WindowsディレクトリのControl Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}という名前の隠しディレクトリにウイルスのコピーを複数保存します。このディレクトリに含まれるファイル名は、以下の3種類の方法で取得されます。このプロセスでは、さまざまな拡張子(.EXE、.PIF、および.SCR)がファイル名の後に追加されます。

1.ランダムなファイル名を生成します。
例:
○Four_A.htm
○Four_B.htm
○Four_C.htm
○Five_A1.htm

2.他の既存のファイル名を使用します。
例:
○FEEDBACK.HTM
○THANKYOU.HTM
○192.168.149[1].htm

3.ウイルスの本体に含まれるファイル名を使用します。
例:
○BearShare Pro 4.3.0.exe
○Borland C++ BuilderX 1.0 Enterprise Edition.exe
○Dragon NaturallySpeaking 8 ISO Multilanguage.exe
○Half Life 2.exe
○Half Life 2 beta patch2.exe
○Halo.exe
○iMesh 4.2 Ad Remover.exe
○Macromedia Contribute 2.exe
○Macromedia Studio MX 2004 AllApps.exe
○McAfee Personal Firewall Plus 2004.exe
○McAfee SpamKiller 2004.exe
○○McAfee VirusScan Home Edition 2004.exe
○Microsoft Office System Professional V2003.exe
○Nero Burning ROM v6.0.0.19 Ultra Edition.exe
○NetObjects Fusion v7.5.exe
○NHL 2004.exe
○Norton Antispam 2004.exe
○Norton AntiVirus 2004.exe
○Norton SystemWorks 2004.exe
○○Sophos AntiVirus v3.74.exe
○TVTool v8.31.exe

・落とし込まれた.HTMファイルは、MIMEエンコードされたワームのコピーを含んでいます。このワームのコピーに続いてExploit-CodeBaseコードも含んでおり、パッチを適用されていないシステムがファイルにアクセスすると自動的にウイルスを実行します。

電子メールを介した繁殖

・W32/Torvil.d@MMは、以下の文字列を含むファイルから収集した電子メールアドレスへ自身を送信します。

●ABD
●DAT
●DBX
●DOC
●DOT
●EML
●HTM
●HTML
●INBOX
●MAI
●MBX
●MHT
●MMF
●NCH
●ODS
●PHP
●PST
●RTF
●TBB
●WAB


ファイル共有を介した繁殖

・W32/Torvil.d@MMは、以下の共有を介してリモートシステムへのアクセスを試みます。

●c$
●d$
●admin$
●IPC$
●print$

・以下のパスワードを使用してアクセスします。

●23523

●54321
●654321
●5201314
●!@#$
●!@#$%
●!@#$%^
●!@#$%^&
●!@#$%^&*
●!@#$%^&*(
●!@#$%^&*()
●abc
●abcd
●admin
●alpha
●asdf
●asdfgh
●computer
●database
●default
●enable
●god
●guest
●home
●Internet
●KKKKKKK
●login
●love
●manager
●mypass
●mypc
●oracle
●pass
●passwd
●password
●private
●public
●pw
●pwd
●qwe
●qwer
●root
●secret
●security
●server
●sql
●super
●sybase
●temp
●test
●user
●win95
●win98
●windows
●winnt
●winxp
●xp
●xxx
●yxcv
●zxcv

・NetScheduleJob APIを呼び出して、予定タスク(ターゲットシステムで自身をリモート実行)をリモート設定します。

ピアツーピアアプリケーションを介した繁殖

・W32/Torvil.d@MMは、Xolo、KaZaa、およびDonkey2000の共有ディレクトリに自身をコピーします。

IRCを介した繁殖

・感染ユーザと同じチャネルに参加するユーザに自身を送信するために上書きします。

Usenetを介した繁殖

・W32/Torvil.d@MMは、繁殖先となる以下のニュースグループの長いリストを含みます。

●alpha.webusenet.com
●alt.destroy.microsoft
●alt.news.microsoft
●baldrick.blic.net
●baracka.rz.uni-augsburg.de
●bbsnews.ndhu.edu.tw
●beech.fernuni-hagen.de
●bias.ipc.uni-tuebingen.de
●bossix.informatik.uni-kiel.de
●butthead.cybertrails.com
●cabale.usenet-fr.net
●ccnews.thu.edu.tw
●cdr.nord.net
●corp.newsgroups.com

●corp-binaries.newsgroups.com
●davide.msoft.it
●demonews.mindspring.com
●dogwood.fernuni-hagen.de
●dp-news.maxwell.syr.edu
●etel.ru
●forums.novell.com
●freebsd.csie.nctu.edu.tw
●frmug.org
●ftp.tomica.ru
●globo.edinfor.pt
●grapevine.lcs.mit.edu
●grieg.uol.com.br
●htsrv.attack.ru
●hub1.meganetnews.com
●info.rgv.net
●info.tsu.ru
●info4.uni-rostock.de
●infosun2.rus.uni-stuttgart.de
●inx3.inx.net
●isgnt5.netnow.net
●lord.usenet-edu.net
●microsoft.public.win32.programmer.gdi
●msnews.microsoft.com
●natasha.ncag.edu
●netnews.de
●news.abcs.com
●news.ajou.ac.kr
●news.aktrad.ru
●news.aoc.gov
●news.avcinc.com
●news.avicenna.com
●news.beta.kz
●news.bsi.net.pl
●news.caiwireless2.com
●news.caravan.ru
●news.caribsurf.com
●news.cat.net.th
●news.cdpa.nsysu.edu.tw
●news.cell.ru
●news.cofc.edu
●news.coli.uni-sb.de
●news.com2com.ru
●news.comtel.ru
●news.corvis.ru
●news.cs.nthu.edu.tw
●news.cs.tu-berlin.de
●news.datast.net
●news.deakin.edu.au
●news.detnet.com
●news.discom.net
●news.dma.be
●news.dna.affrc.go.jp
●news.dsuper.net
●news.emn.fr
●news.enet.ru
●news.freenet.de
●news.fwi.com
●news.fxalert.com
●news.gamma.ru
●news.gcip.net
●news.gdbnet.ad.jp
●news.globalpac.com
●news.hanyang.ac.kr
●news.htwm.de
●news.ind.mh.se
●news.inet.gr
●news.informatik.uni-bremen.de
●news.infotecs.ru
●news.intel.com
●news.invarnet.inwar.com.pl
●news.isu.edu.tw
●news.itcanada.com
●news.jerseycape.net
●news.kiev.sovam.com
●news.konkuk.ac.kr
●news.krs.ru
●news.leivo.ru
●news.lit.ru
●news.louisa.net
●news.lsumc.edu
●news.lucky.net
●news.man.torun.pl
●news.math.cinvestav.mx
●news.matnet.com
●news.maxnet.ru
●news.mc.ntu.edu.tw
●news.mindvision.com.au
●news.nchu.edu.tw
●news.ncue.edu.tw
●news.netcarrier.com
●news.netdor.com
●news.nsysu.edu.tw
●news.odata.se
●news.online.de
●news.phoenixsoftware.com
●news.portal.ru
●news.primacom.net
●news.ramlink.net
●news.read.kpnqwest.net
●news.readfreenews.net
●news.reference.com
●news.ripco.com
●news.ruhr-uni-bochum.de
●news.savvis.net
●news.sexzilla.com
●news.solaris.ru
●news.spiceroad.ne.jp
●news.srv.cquest.utoronto.ca
●news.sti.com.br
●news.tehnicom.net
●news.teleglobe.net
●news.telepassport.de
●news.terra-link.com
●news.tln.lib.mi.us
●news.tohgoku.or.jp
●news.triax.com
●news.ttnet.net.tr
●news.tu-ilmenau.de
●news.udel.edu
●news.uncensored-news.com
●news.uni-duisburg.de
●news.uni-erlangen.de
●news.uni-hohenheim.de
●news.uni-mannheim.de
●news.uni-rostock.de
●news.uni-stuttgart.de
●news.unitel.co.kr
●news.univ-nantes.fr
●news.utb.edu
●news01.uni-trier.de
●news1.sinica.edu.tw
●news2.new-york.net
●news4.euro.net
●news4.odn.ne.jp
●news4.uncensored-news.com
●news-archive2.icm.edu.pl
●newscache0.freenet.de
●newscache1.freenet.de
●newscache2.freenet.de
●newscache3.freenet.de
●newscache4.freenet.de
●newscache5.freenet.de
●pubnews.gradwell.net
●regulus.its.deakin.edu.au
●service.symantec.com
●snews.apol.com.tw
●supern2.lnk.telstra.net
●tabloid.uwaterloo.ca
●www.usenet.pl

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・以下のプロセス名を含む実行中のプロセスを終了します。
●_AVP32
●_AVPCC
●_AVPM
●ACKWIN32
●ADVXDWIN
●AGENTW
●ALERTSVC
●ALOGSERV
●ALOGSERV
●AMON9X
●ANTI-TROJAN
●ANTIVIR
●ANTS
●APVXDWIN
●APVXDWIN
●ATCON
●ATRACK
●ATUPDATER
●ATWATCH
●AUTODOWN
●AUTO-PROTECT
●AUTOTRACE
●AVCONSOL
●AVE32
●AVGCC32
●AVGCTRL
●AVGSERV
●AVGSERV9
●AVGW
●AVKPOP
●AVKSERV
●AVKSERVICE
●AVKWCTL9
●AVP
●AVP32
●AVPM
●AVPTC
●AVPUPD
●AVSCHED32
●AVSYNMGR
●AVWIN95
●AVWINNT
●AVXMONITOR9X
●AVXMONITORNT
●AVXQUAR
●AVXQUAR
●AVXW
●BLACKD
●BLACKICE
●CCEVTMGR
●CCPWDSVC
●CCSETMGR
●CDP
●CFGWIZ
●CFINET
●CLAW95
●CLAW95CF
●CLEANER
●CLEANER3
●CMGRDIAN
●CONNECTIONMONITOR
●CPD
●CPDClNT
●CTRL
●DEFALERT
●DEFSCANGUI
●DEFWATCH
●DOORS
●DVP95_0
●DVP95
●EFPEADM
●ETRUSTCIPE
●EVPN
●EXPERT
●F-AGNT95
●FAMEH32
●FCH32
●FIH32
●FIREWAL
●FNRB32
●F-PROT
●F-PROT95
●FP-WIN
●FRW
●FSAA
●FSAV32
●FSGK32
●FSM32
●FSMA32
●FSMB32
●F-STOPW
●GBMENU
●GBPOLL
●GBPOLL
●GENERICS
●GUARD
●GUARDDOG
●IAMAPP
●IAMSERV
●IAMSTATS
●ICLOAD95
●ICLOADNT
●ICMON
●ICSUPP95
●ICSUPPNT
●IFACE
●IOMON98
●ISRV95
●JEDI
●LDNETMON
●LDPROMENU
●LDSCAN
●LOCKDOWN
●LOCKDOWN2000
●LUALL
●LUCOM
●LUSPT
●MCAGENT
●MCMNHDLR
●MCSHIELD
●MCTOOL
●MCUPDATE
●MCVSRTE
●MCVSSHLD
●MGAVRTCL
●MGAVRTE
●MGHTML
●MINILOG
●MONITOR
●MOOLIVE
●MPFAGENT
●MPFSERVICE
●MPFTRAY
●MWATCH
●N32SCANW
●NAV
●NAVAP
●NAVAPSVC
●NAVAPW32
●NAVENGNAVEX15
●NAVENGNAVEX15
●NAVLU32
●NAVRUNR
●NAVW32
●NAVWNT
●NDD32
●NEOWATCHLOG
●NETUTILS
●NISSERV
●NISUM
●NMAIN
●NOD32
●NORMIST
●NOTSTART
●NPROTECT
●NPSCHECK
●NPSSVC
●NRESQ32
●NSCHED32
●NSCHEDNT
●NSPLUGIN
●NTRTSCAN
●NTVDM
●NTXcONFIG
●Nui
●NUPGRADE
●NVC95
●NVSVC32
●NWSERVICE
●NWTOOL16
●PADMIN
●PAVPROXY
●PCCIOMON
●PCCMAIN
●PCCNTMON
●PCCWIN97
●PCCWIN98
●PCFWALLICON
●PCSCAN
●PERSFW
●PERSWF
●POP3TRAP
●POPROXY
●PORTMONITOR
●PROCESSMONITOR
●PROGRAMAUDITOR
●PVIEW95
●RAPAPP
●RAV7
●RAV7WIN
●REALMON
●RESCUE
●RTVSCN95
●RULAUNCH
●SAFEWEB
●SAVSCAN
●SBSERV
●SCAN32
●SCRSCAN
●SMC
●SPHINX
●SPYXX
●SS3EDIT
●SWEEP95
●SWEEPNET
●SWEEPSRV
●SWNETSUP
●SymProxySvc
●SYMTRAY
●TAUMON
●TCA
●TCM
●TDS2-98
●TDS2-NT
●TDS-3
●TFAK
●TMNTSRV
●VBCMSERV
●VBCONS
●VET32
●VET95
●VETTRAY
●VIR-HELP
●VPC32
●VPTRAY
●VSCHED
●VSECOMR
●VSHWIN32
●VSMAIN
●VSMON
●VSSTAT
●WATCHDOG
●WEBSCANX
●WEBTRAP
●WGFE95
●WIMMUN32
●WRADMIN
●WRCTRL
●WRCTRL
●ZAPRO
●ZONEALARM

感染方法TOPへ戻る

・W32/Torvil.d@MMは、MAPI、SMTP,ファイル共有、Usenet、MIRC、ICQ、Xolo、Kazaa、eDonkey2000を介して繁殖します。

・以下のDNSサーバーアドレスを含みます。
●152.163.159.232
●193.189.233.45
●149.174.211.8
●64.12.51.132
●216.109.116.17
●193.189.231.2

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足