製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:W
ウイルス情報
ウイルス名危険度
W32/Winur.worm.b
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4246 (現在7600)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32/Flow :Worm.P2P.VB.o (AVP)
情報掲載日03/02/05
発見日(米国日付)03/02/04
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Winur.worm.bは、定義ファイル4215-4245を使用し、プログラムヒューリスティックスキャンを有効にすると“New P2P Worm”として検出されます。

・W32/Winur.worm.bはネットワーク共有、ピアツーピアファイル共有ソフトウェアおよびフロッピーディスクによって繁殖し、3つの白人至上主義者のWebサイトにDoS(サービス拒否)攻撃を仕掛けるペイロードを含んでいます。

・感染システム上にあるファイル名や以下のファイル名を使用してICQ、KaZaaおよびGroksterによって繁殖します。

●.exe
●Adobe Photoshop crack.exe
●Age of Empire crack.exe
●Age of Mythology crack.exe
●All Microsoft games crack.exe
●American concuest crack.exe
●Anno 1503 Crack - No cd.exe
●AOL hacker.exe
●AOL password stealer.exe
●Beach life crack nocd.exe
●Britney spears game.exe
●Bugbear remover.exe
●Christina Aguilera game.exe
●Die another Day DVD full.exe
●Die another day flash movie(1).exe
●Die another day flash movie.exe
●Driver 2 crack.exe
●Dvd ripper.exe
●EA games Keygen.exe
●Esafe desktop protection crack.exe
●Fifa 2003 crack.exe
●Fifa 2004 crack.exe
●Free ADSl.exe
●Frontline attack war over Europe noCD crack.exe
●Frontpage cracker.exe
●GTA 3 game crack noCD.exe
●GTA3 game crack noCD.exe
●Highland warriors crack.exe
●Hotmail account hacker in 30 minutes.exe
●Hotmail hacker.exe
●Hotmailhacker v1.0.exe
●Icon extractor v1.7 - full.exe
●ICQ hacker.exe
●ICQ password stealer.exe
●Jack the ripper v1.0.exe
●Jackie chan dvd collection.exe
●James Bond game - Die another day.exe
●John the ripper v1.0.exe
●Justin Timberlake Debute movie.exe
●Klez fixtool.exe
●Lord of the rings VCD.exe
●Love calculator.exe
●Mad Jack crack.exe
●MadJack crack.exe
●Mafia game crack noCD.exe
●Mcafee virusscanner crack.exe
●Microangelo crack.exe
●Most important hacker tool ever!.exe
●mp3 ripper.exe.exe
●msconfig.exe
●MSN 5.0 Banner remover.exe
●MSN Messenger commercial crack.exe
●MSN Password crack.exe
●MSN PLUS!.exe
●MXlinx 0.30 crack.exe
●Nikki cox game and movie.exe
●Norton antivirus crack.exe
●Office XP license crack.exe
●pornmovie (hardcore sex adult asian).exe
●Powerful MP3 ripper.exe
●Red Alert 2 [noCD].exe
●Red Alert 2 YR [noCD].exe
●Red Alert cracker crack - All versions (yuri, 1 ,2 etc).exe
●Rollercoaster tycoon 2 crack.exe
●Rollercoaster tycoon cracker.exe
●shortcut to northwind.lnk.exe
●Shriek DVD crack patch.exe
●Sim City 4 - no cd crack.exe
●Sim City 4 - no cd patch.exe
●Sim City 4 [noCD].exe
●Sim city 4 crack.exe
●Stop the war (intro).exe
●Stronghold Crusader crack- All versions [noCD].exe
●Stuart Little 2 crack game noCD.exe
●Super 2000key keygen.exe
●The Sims crack.exe
●Theme park world cracker.exe
●Tropico crack.exe
●Warcraft 3 crack.exe
●Webcracker.exe
●Website hacker v1.0.exe
●Windows Me crack.exe
●Windows XP license crack.exe
●Yaha Fixtool.exe

ピアツーピアを介した繁殖

・W32/Winur.worm.bが実行されると隠しディレクトリ“c:\winrun”を作成します。このディレクトリに上記のファイル名およびシェルフォルダのPersonal、My Music、My Videoにあるファイル名で自身のコピーを作成します。このWINRUNフォルダは、KaZaa、Grokster、WinMXファイル共有アプリケーションのデフォルトの共有フォルダに設定されます。

・このウイルスはc:\klez_removal.exeにも自身をコピーします。また、以下のレジストリ実行キーを作成して、起動時に自身を読み込むようにします。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "msconfig" = C:\winrun\msconfig.exe
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "winrun" = C:\winrun\msconfig.exe

・以下のレジストリキーも追加します。

●HKEY_CURRENT_USER\Software\Grokster\InstantMessaging "IgnoreAll" = REG_DWORD:1
●HKEY_CURRENT_USER\Software\Grokster\LocalContent "DisableSharing" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\Grokster\Resultsfilter "adult_filter_level" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\Grokster\Resultsfilter "virus_filter" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\Advanced "ScanFolder" = REG_DWORD:1
●HKEY_CURRENT_USER\Software\KaZaa\InstantMessaging "IgnoreAll" = REG_DWORD:1
●HKEY_CURRENT_USER\Software\KaZaa\LocalContent "DisableSharing" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\ResultsFilter "adult_filter_level" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\ResultsFilter "bogus_filter" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\ResultsFilter "firewall_filter" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\ResultsFilter "virus_filter" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\Settings "FolderWarning" = REG_DWORD:0
●HKEY_CURRENT_USER\Software\KaZaa\Settings "Quarantine" = C:\WINDOWS\Start Menu\Programs\StartUp
●HKEY_CURRENT_USER\Software\KaZaa\UserDetails "AutoConnected" = REG_DWORD:1
●HKEY_LOCAL_MACHINE\Software\Microsoft\MessengerService\

Policies "IMWarning" = (M)Warning: The person who you are talking to is infected with a virus. Send him the removal tool that can be found in C:\klez_removal.exe(M)

・最後のレジストリキーは、ローカルのMSN Messengerユーザのシステムに警告メッセージを表示して、相手のユーザにウイルスを送信するよう仕向けます。

フロッピーディスクを介した繁殖

・A:ドライブに“IMPORTANT - READ THIS.DOC < 62 spaces > .exe”というファイル名でウイルスのコピーを保存します。

発病ルーチン

・毎月24日に、以下のメッセージボックスが表示されます。
・毎月5日、15日、25日には、3つの白人至上主義者のWebサイトにDoS(サービス拒否)攻撃を仕掛けます。

ネットワーク共有を介した繁殖

・c:\Autostart.batファイルを作成して、NET VIEWコマンドの出力をc:\ntwrk32.dllファイルにリダイレクトします。c:\ntwrk32.dllファイルは、繁殖対象となる現在のワークグループに属するシステムの一覧をウイルスに提供します。

・C共有を利用して以下のパスに自身のコピーを作成します。

●windows\Start Menu\Programs\StartUp\msoffice32.exe
●windows\start menu\Programma's\Opstarten\msoffice32.exe
●Documents and Settings\All Users\Start menu\
●programs\startup\msoffice32.exe
●Documents and Settings\All Users\Menu Start\
●Programma's\Opstarten\msoffice32.exe

・AVERTのテストでは、ネットワーク共有繁殖による感染は起こりませんでした。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルとメッセージボックスが存在します。

・毎月5日、15日、25日に、ファイアウォールプログラムが、PINGがインターネットへのアクセスを試みていることを警告します。

感染方法TOPへ戻る

・W32/Winur.worm.bは、ICQ、KaZaa、GroksterおよびWinMXファイル共有アプリケーションを介して繁殖します。ネットワーク共有で繁殖することもあります。