 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
マイクロソフトのセキュリティパッチを装うウイルス「Dumaru」 |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
シマンテックは、マイクロソフトからのセキュリティパッチを装うウイルス「W32.Dumaru@mm」を危険度“3”として警告した。被害状況と感染力を“中”、ダメージを“低”と評価している。 Dumaruは、自分自身を添付したメールを大量送信し、感染先のPCにIRC Trojanを作成するウイルスだ。Microsoft C++言語で書かれており、UPX形式で圧縮されている。感染方法は、「.htm」「.wab」「.html」「.dbx」「.tbb」「.add」ファイル上で発見したすべてのメールアドレスに自分自身を送信する。 Dumaruに感染すると、自分自身をWindowsのフォルダにコピーする。そして、IRC Trojanである「windrv.exe」を作成する。windrv.exeが実行されると、事前に指定されているIRCサーバーに接続して特定のチャンネルに参加し、ウイルス作成者からのコマンドを待機する。また、Dumaruが収集したメールアドレスを保存するファイル「winload.log」を作成する。 次にレジストリを改変し、Windows起動時に必ずDumaru自身が起動するように変更を加える。また、Windows Me/98/95の場合、「win.ini」ファイルと「system.ini」ファイルを以下の行を追加する。 [windows] run=%Windir%\dllreg.exe [boot] shell=explorer.exe %System%\vxdmgr32.exe レジストリ改変後、HTMLファイルなどから収集したメールアドレスに対して自分自身を送信する。その際のメール内容は以下の通り。 差出人:"Microsoft" 件名:Use this patch immediately ! 本文: Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected! 添付ファイル名:patch.exe 感染してしまった場合は、改変されたレジストリ情報を修正し、最新のウイルス定義ファイルを使ってスキャンの後、「W32.Dumaru@mm」または「IRC Trojan」として検出されたファイルを全て削除する必要がある。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので、注意が必要だ。また、Windows Me/98/95の場合は、Win.iniファイルとSystem.iniファイルに追加された行を削除しなければならない。 関連情報 ■URL 「W32.Dumaru@mm」を解説するサイト http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.dumaru@mm.html
( 大津 心 )
- ページの先頭へ-
|
