WORM_MUMU.A - 2003/6/27
感染警報VAC-3 不正プログラム群「BAT_SPYBOT.A(スパイボット)」およびそれをインストールする「WORM_MUMU.A(ムム)」
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:スティーブ・チャン)は、5月末に発見された多数のハッキングモジュールを埋め込むバッチファイル「BAT_SPYBOT(スパイボット)」について、日本国内にて被害報告が増え、かつそれを埋め込むワーム「WORM_MUMU.A(ムム)」が世界で流行の兆しをみせていることから、ウイルス警報VAC-3※1にて警告することをお知らせいたします。なお、トレンドマイクロでは、「BAT_SPYBOT(スパイボット)」にはパターンファイル555以降、「WORM_MUMU.A(ムム)」には577以降にて対応※2しています。両ワームはパスワードリストを用いてネットワークにログインし、自身を埋め込みます。簡易なパスワード設定では感染する可能性が高くなります。パスワードの見直しを行ってください。
※1 VAC(Virus Alert Code)
トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示しています。(VAC-1が最も脅威度が高い)VACについての詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/virusinfo/vac.asp
※2 現在の最新パターンファイルは577です。今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。
「BAT_SPYBOT.A(スパイボット)」および「WORM_MUMU.A(ムム)」の特徴とその対策について
「BAT_SPYBOT.A(スパイボット)」は、DOSのバッチファイルで作成されたトロイの木馬型不正プログラムであり、複数のプログラムモジュールが連携して複雑な活動を行う不正プログラム群の一部です。全体としては、ランダムなIPアドレスへのネットワークワーム活動、ハッキング活動(キー入力やマウス操作を監視)、不正ユーザアカウントの作成などを行います。
「WORM_MUMU.A(ムム)」は、ネットワーク上の共有ドライブに対して自身のコピーを作成するネットワークワーム活動を行います。また、「BAT_SPYBOT.A(スパイボット)」などの不正プログラムをインストールする「ウイルスドロッパー」活動も行います。
● 感染被害報告(6月27日13時):日本国内301件
※「BAT_SPYBOT.A(スパイボット)」発見(5月30日)以降トレンドマイクロサポートセンターへの感染報告件数。「BAT_SPYBOT.A(スパイボット)」、「WORM_MUMU.A(ムム)」およびインストールされる不正モジュールである「TROJ_HACLINE.A」「TROJ_PCGHOST.413」「TROJ_NTSERV.A」を含む
世界における感染台数86274台
※「BAT_SPYBOT.A(スパイボット)」のみトラッキングセンター<http://wtc.trendmicro.com/japanese/>
● 感染対象:Windows 環境のPC
● 感染・侵入経路:いずれもネットワークワーム活動
「BAT_SPYBOT.A(スパイボット)」
ワームが持っているパスワードリストを使い、ランダムなIPアドレスのコンピュータのIPC共有にアドミニストレータ権限で接続し、接続したコンピュータのsystem32フォルダに自身の不正プログラムをコピーします。
「WORM_MUMU.A(ムム)」
Windowsのネットワーク共有(SMB)に対して自身のコピーを作成します。共有ドライブへのアクセスの際に"IPCPass.txt"内に記録されたパスワードのリストを使用します。
● ハッキングツール活動 :「BAT_SPYBOT.A(スパイボット)」によって埋め込まれる、ハッキングモジュールが以下の活動を行います。
・キーロガー活動:
「TROJ_PCGHOST.413」により、キー入力とマウス操作の監視が行われます。
・不正ユーザアカウントの作成:
SS.BATにより、Windows NT/2000/XP のOSに以下の条件のアカウントが追加されます。このユーザアカウント作成のために"PSEXEC.EXE"がループバック(127.0.0.1)で実行されます。"PSEXEC.EXE"はリモートでプロセスを実行するためのツールです。
アカウント:"admin"
パスワード:"KKKKKKK"
これにより、外部のハッカーがこのアカウントを利用して感染コンピュータにアクセスする可能性が生じます。
※その他にもリモート不正ユーザーにシステムに感染が完了したことをメールしたり、スパイウエアを埋め込んだりと様々な活動を行います。詳細はこちらで確認ください。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BAT_SPYBOT.A&VSect=T
●お勧めする対策:
・ウイルスとして検出したファイルはすべて削除してください。
・システム修復ツール
下記「トレンドマイクロシステムクリーナ」で、本ウイルスによって改変された、Windowsシステムの修復ができます。ご利用ください。
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-24700
・不正ユーザアカウントを作成された場合は、すでに外部のハッカーにパソコン内部を操作されている
可能性があります。重要なファイルやID、ログインパスワードの見直しをお勧めします。また、作成された不正アカウントは削除してください。
・簡易なパスワードが狙われる傾向にあります。ウイルスに感染しないためにも改めてパスワードの見直しをしてください。
■ウイルスの詳細情報および駆除方法等のご案内は下記URLよりご確認ください。
「BAT_SPYBOT.A(スパイボット)」
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BAT_SPYBOT.A
「WORM_MUMU.A(ムム)」
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MUMU.A
※TRENDMICRO、Trend Labsはトレンドマイクロ株式会社の登録商標です。
※各社の社名および製品名は、各社の商標又は登録商標です。
Copyright (c) 2003 Trend Micro Incorporated. All Rights Reserved.
