ウイルス情報

かかりやすさ:中

( Worm.Dumaru.a )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2003年8月19日(火)
■感染したらどうなる
  • パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信しますが、メールソフトで送るわけではないので、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
    さらに、別のトロイの木馬ウイルスを作成する場合があり、完全に削除する必要があります。
■感染しないためには
  • メールに添付されたファイル名の末尾が「.EXE」のファイルを開かないこと。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心下さい。
■詳細情報
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、.htm, .wab, .html, .dbx, .tbb, .abdなどの拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。 これらのメールアドレスはwinload.logというファイルに書き込まれます。
  • 送信されるメールの形式は以下の通りですのでご注意ください。

    差出人: "Microsoft" security@microsoft.com

    件名: Use this patch immediately !

    添付ファイル: patch.exe

    本文:Dear friend , use this Internet Explorer patch now!
    There are dangerous virus in the Internet now!
    More than 500.000 already infected!
  • 不正プログラムの作成
    パスワード詐取プログラムを作成します。このプログラムはPWS-Narodとして検出されます。

    以下の症状が見られる場合、このウイルスに感染している可能性があります。
    システム起動時のファイル実行を意図して、以下のレジストリキーがフックされます。
    HKEY_LOCAL_MACHINE?Software?Microsoft?Windows?CurrentVersion? Run "load32" = C:?%WINDIR%?load32.exe HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows NT? CurrentVersion? Winlogon "Shell" = explorer.exe C:?WINNT?System32?vxdmgr32.exe HKEY_CURRENT_USER?Software?Microsoft?Windows NT?CurrentVersion?Windows "run" = C:?WINDOWS?dllreg.exe

    このウイルスはウイルス本体を以下のディレクトリにコピーします。
    c:?%WINDIR%?dllreg.exe
    c:?%SYSDIR%?load32.exe
    c:?%SYSDIR%?vxdmgr32.exe
    PWS-Narodトロイの木馬は、 %WinDir% ディレクトリに、windrv.exe としてコピーされます。

    win.iniファイルも、起動時にウイルスを実行するように、改変されます。
    c:?windows?system.ini, [boot] "shell" = explorer.exe C:?%SYSDIR%?vxdmgr32.exe
    c:?windows?win.ini, [windows] "run"= C:?%WINDIR%?dllreg.exe
    (通常%WINDIR%はC:?windowsかC:?winntで%SYSDIR%はC:?windows?systemかC:?winnt?systemです。)