製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:W
ウイルス情報
ウイルス名危険度
W32/Wanor@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)		4254 (現在7084)
対応エンジン4.1.60以降 (現在5.4.00) 
エンジンバージョンの見分け方
情報掲載日03/03/24
発見日(米国日付)03/03/21
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/22W32/Virut.ge...
05/22W32/Duel!962...
05/22W32/Duel!EC1...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7084
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Wanor@MMは、定義ファイル4171〜4253とスキャンエンジン4.1.60を使用し、プログラムヒューリスティックスキャンを有効にするとNew Worm(特定のワーム名ではなく、ワームの総称)として検出されます。定義ファイル4171〜4252とスキャンエンジン4.2.40を使用し、プログラムヒューリスティックスキャンを有効にするとW32/Generic@MM(特定のワーム名ではなく、ワームの総称)として検出されます。定義ファイル4253とスキャンエンジン4.2.40を使用する場合は、ヒューリスティックスイッチを有効にしなくても、W32/Generic@MMとして検出されます。定義ファイル4254では、どのスキャンエンジンを使用してもW32/Wanor@MMとして検出されます。この情報掲載の時点では、AVERTは一般からこのウイルスのサンプルを受け取っていません。

・W32/Wanor@MMは大量メール送信型ワームで、eDonkey2000、KaZaa、Morpheus、Grokster、Bearshare、およびICQを介して繁殖します。

電子メールによる繁殖

・W32/Wanor@MMが実行されると、MAPIメッセージングを使用し、Windowsのアドレス帳にあるすべての受信者の電子メールアドレスに自身を送信します。このワームは、以下のような電子メールメッセージで届きます。

件名:(以下のいずれか)

  • SAY NOT WAR
  • Mobilizations against the War
  • very good!
  • di NO a LA GUERRA
  • See content
  • moooola, maaaazo
  • See content!

本文:(以下のいずれか)

  • que ca?a tio
  • NOT WAR!!
  • que guay macho!!
  • SAY NOT WAR, NOT WAR, NOT WAR
  • WAR ([Yes] | [Not])
  • WAR ([Yes?] | [Not?]), see file

上記の本文の後に記載されるURL:

  • ttp://www.punchdown.org/rvb/F15/
  • ttp://www.sundayherald.com/28224/

添付ファイル:(以下のいずれか)

  • Winscr.scr
  • Winscr.exe

・以下の電子メールメッセージも送信します。

宛先: president@whitehouse.gov

件名: NOT WAR! ARE YOU THE ONLY DANGER FOR THE WORLD, FOR THE HUMANITY AND FOR THE HUMAN BEING

本文: You show us every day the danger that you represent for the world. Leave us in peace.

  • ttp://www.punchdown.org/rvb/F15/
  • ttp://www.sundayherald.com/28224/

添付ファイル: Winscr.scr

・このワームが実行されると、WINDOWS (%WinDir%)ディレクトリにWinscr.scrというファイル名で、WINDOWS\INF (%WinDir%\INF)ディレクトリにはWinm.exeというファイル名で自身のコピーを作成します。

・以下の複数のレジストリ実行キーを作成して、起動時にこのワームを読み込みます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "Windows main module" = C:\WINDOWS\Inf\Winm.exe
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "Windows main module" = C:\WINDOWS\Inf\Winm.exe
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunServices "Windows main module" = C:\WINDOWS\Inf\Winm.exe

・WINDOWS SYSTEM (%SysDir%)ディレクトリに、以下の2つのマーカファイルを作成します。

  • Msdepw32.dll(ワームの実行回数のみ表示)
  • Msdtv.dll(0バイトのファイル)

ピアツーピアを介した繁殖

・以下の共有フォルダに自身のコピーを作成します。

  • レジストリで指定されたeDonkeyおよびKaZaaの共有フォルダ
  • C:\Archivos de programa\Morpheus\My Shared Folder
  • C:\Program Files\Grokster\My Grokster
  • C:\Program Files\Bearshare\Shared
  • C:\Program Files\ICQ\Shared files

発病ルーチン

・Msdepw32.dllファイルでワームの実行回数を確認します。Windows NT/2000/XPシステム上での実行回数が6回以上の場合は、以下のメッセージボックスを表示します。

・Windows 9x/MEシステム上での実行回数が20回以上の場合は、以下のメッセージボックスを表示し、システムトレイとデスクトップのアイコンを隠します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・以下のファイルが存在します。

  • %WinDir%\Winscr.scr
  • %WinDir%\INF\Winm.exe
  • %SysDir%\Msdepw32.dll
  • %SysDir%\Msdtv.dll

感染方法TOPへ戻る

・電子メールおよびピアツーピアファイル共有ソフトウェアを介して繁殖します。