| 対応定義ファイル |
定義ファイルバージョン 1.525 (20031003)以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■ Win32/Dumaru.L
Win32/Dumaru.L は電子メールの添付ファイルとして拡散するワーム(Win32/Dumaru.A ワームの亜種)です。このワームのサイズは34,818バイトで、UPXユーティリティで圧縮されています。解凍するとサイズは77KBになります。このワームはトロイの木馬をWindowsシステムにインストールして活動します。
Win32/Dumaru.L は security@microsoft.com から来たメッセージ(メール)のように見せかけます。このメッセージの題名は、 "Use
this patch Immediately!" というテキストです。メッセージの本文には次のテキストがあります。
Dear
friend, use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
注意:以下の説明において、%windir% はWindows OS がインストールされたディレクトリ名を意味します。また、%system%
は %windir% にあるサブディレクトリ "System" または "
System32" を意味します。
ワームの本体を含むファイルはメッセージ(メール)の添付にあります。ファイル名は patch.exe であり、サイズは34,818バイトです。このワームが実行されると、自分自身のコピーを
dllreg.exe というファイル名で作成し、
%windir% ディレクトリに4,096バイトのトロイの木馬 guid32.dll を作成します。また、%system%
ディレクトリに、filesload32.exe と vxdmgr32.exe も作成します(いずれも34,818バイトです)。
さらに
%windir% ディレクトリに、winload.lo と vxdload.lo というファイルも作成します。
このワームは system.ini と win.ini ファイルを変更します。
system.ini には、[boot]セクションに、
shell=explorer.exe C:\WINDOWS\SYSTEM\vxdmgr32.exe
という行を追加し、win.iniには、[ windows ] セクションに、
run=C:\WINDOWS\dllreg.exe
という行を追加します。(Windows95/98/Meのみ)
また、このワームは、以下のレジストリも作成します。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"
load32" = "C:\%system%\load32.exe"
これらの変更によって、OSの再起動時に、Win32/Dumaru.L ワームが活動するようになります。
Win32/Dumaru.L は、以下のシステムレジストリを作成します。
[HKEY_LOCAL_MACHINE\Software\AAAA]
"
kwmfound" = 00000000 (DWORD値)
Win32/Dumaru.L は、拡張子が html, htm, dbx, wab, tbb および abd
であるファイルの内容から感染を広げるためのアドレス(例えばメールアドレス)を取得しようとします。
NOD32アンチウイルスは、ウイルスシグネチャデータベースversion1.525以降で検出します。また、データベースの更新が無くとも、拡張ヒューリスティックで検出されます。 |
