トレンドマイクロ、複数のウイルスを感染させる「MUMU.A」を警告

■URL
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MUMU.A

　トレンドマイクロ株式会社は27日、トロイの木馬型不正プログラム「WORM_MUMU.A」をイエローアラートとして警告した。危険度、ダメージ度、感染力はともに「中」。MUMU.Aは他のウイルス「SPYBOT.A」と「TROJ_HACLINE.A」も同時に感染させる“ウイルスドロッパー”としての機能も備えている。

　MUMU.Aは、Windows XP/2000/Me/NT/98/95上で動作するワームで、感染するとWindowsフォルダに「bboy.exe」、Windowsシステムフォルダに「last.exe」「bboy.dll」「kavfind.exe」「psexec.exe」「IPCPass.txt」「mumu.exe」というファイルを作成する。bboy.dllはキーロガー活動を行なう。kavfind.exeの正体はハッキングプログラムの「TROJ_HACLINE.A」、IPCPass.txtの正体は別のトロイの木馬型不正プログラム「SPYBOT.A」だ。

　また、レジストリ情報を以下のように書き換えて、マシンの起動時にウイルスが自動起動するようにする。

　　場所：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　値：Kernel = "＜Windowsフォルダ＞\bboy.exe"

　さらに、感染したPCのネットワークIDを記録するため、に以下のレジストリ情報を追加する。

　　場所：HKEY_LOCAL_MACHINE\Software\mumu

　感染活動はWindowsのネットワーク共有で行なわれる。その時に使われるパスワードのリストはIPCPass.txtに書かれたものが使われる。

　感染した場合は、書き換えられたレジストリ情報を削除した上でPCを再起動し、最新のウイルス対策ファイルを使ってスキャンを行なう。そして「WORM_MUMU.A」「BAT_SPYBOT.A」「TROJ_HACLINE.A」として検出されたファイルを全て削除する。最後に「PSEXEC.EXE」を検索し、削除する。

◎関連記事
■DOSのバッチで配布されるトロイの木馬型不正プログラム「SPYBOT.A」

(2003/6/27)

[Reported by okada-d@impress.co.jp]