Win32/Dumaru.Y は、電子メールの添付ファイルとして拡散するワーム(Win32/Dumaru.A ワームの亜種)です。このワームのサイズは、17,370バイトで、FSGユーティリティで圧縮されています。解凍するとサイズは65KBになります。このワームは、感染したコンピュータでのキー入力を記録するキーロガー(key-logger)というトロイの木馬をインストールします。このワームはWindows95以降のWindowsオペレーティングシステム上で動作します。
差出アドレスは "Elene" となっていますが、偽装されています。
メールの題名は、"Important information
for you. Read it immediately !" です。
メールの本文には次のテキストが含まれています。
Hi !
Here is my photo, that you asked for yesterday.
注意:以下の説明において、%windir% はWindows OS がインストールされたディレクトリ名を意味します。また、%system%
は %windir% にあるサブディレクトリ "System" または "
System32" を意味します。
このメールには、myphoto.zip(サイズは17,613バイト)が添付されており、この中に "
myphoto.jpg[56個の空白].exe" という名前の実行可能ファイルが圧縮されています。
これがワームの本体で、サイズは17,370バイトです。
注意:このように長い空白を含むファイル名をもつファイルが.zipに圧縮されている場合、メールソフトや解凍ツールでは一見すると、myphoto.jpg
が圧縮されているように見えることがあるので、そのまま解凍して開く(実行する)ことは危険です。必ず解凍後のファイルの拡張子も確認して、不用意に実行しないようにしなければなりません。
このワームが実行されると、%system% のサブディレクトリに "Start
Menu", "Programs", "
StartUp" というディレクトリが存在するかどうかを検索します。このサブディレクトリ名は英語に限らず、各国語版のWindowsオペレーティングシステムにおいても、それらに相当するサブディレクトリがあるかどうかも検索しています。それらのサブディレクトリが存在していた場合、このワームは、自分自身のコピーを
dllxw.exe としてそれらのサブディレクトリに作成します。
このワームは、感染したコンピュータのOSがWindows95/98/MEであるとき、そのsystem.iniファイルの[boot]セクションに、次の行を追加します。
shell=explorer.exe %system%\vxd32v.exe
また、このワームは、次ののレジストリキーを追加します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"
load32" = "%system%\l32x.exe"
これらの変更によって、OSの再起動時に、このワームが活動するようになります。
このワームは、拡張子が html, htm, dbx, wab, tbb および abd であるファイルの内容から
感染を広げるためのメールアドレスを取得しようとします。
このワームは、感染したコンピュータのキーボードから入力されるキーの情報を監視して、
その情報を %windows%\vxdload.log に保存します。
また、このワームは、ポート10000番と2283番を開きます。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.606にて対応しています。
