W32/Winur.worm.b対策,

ウイルス情報ウイルス名リスク度W32/Winur.worm.b企業ユーザ: 低
個人ユーザ: 低類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)対応定義ファイル
(現在不可欠とされるパブジョン)4246 03/02/04

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

W32/Winur.worm.bは、定義ファイル4215-4245を使用し、本職グラムヒューリスティックスキャンを有効にすると“New P2P Worm”として検出されます。

W32/Winur.worm.bはネットワーク共有、ピアツーピアファイル共有ソフトウェアおよびフロッピーディスクによって繁殖し、3つの白人至上主義者のWebサイトにDoS攻撃を仕掛けるペイロードを含んでいます。
ウイルス対策
感染システム上にあるファイル名や以下のファイル名を使用してICQ、KaZaaおよびGroksterによって繁殖します。

●.exe
●Adobe Photoshop crack.exe
●Age of Empire crack.exe
●Age of Mythology crack.exe
●All Microsoft games crack.exe
●American concuest crack.exe
●Anno 1503 Crack – No cd.exe
●AOL hacker.exe
●AOL password stealer.exe
●Beach life crack nocd.exe
●Britney spears game.exe
●Bugbear remover.exe
●Christina Aguilera game.exe
●Die another Day DVD full.exe
●Die another day flash movie(1).exe
●Die another day flash movie.exe
●Driver 2 crack.exe
●Dvd ripper.exe
●EA games Keygen.exe
●Esafe desktop protection crack.exe
●Fifa 2003 crack.exe
●Fifa 2004 crack.exe
●Free ADSl.exe
●Frontline attack war over Europe noCD crack.exe
●Frontpage cracker.exe
●GTA 3 game crack noCD.exe
●GTA3 game crack noCD.exe
●Highland warriors crack.exe
●Hotmail account hacker in 30 minutes.exe
●Hotmail hacker.exe
●Hotmailhacker v1.0.exe
●Icon extractor v1.7 – full.exe
●ICQ hacker.exe
●ICQ password stealer.exe
●Jack the ripper v1.0.exe
●Jackie chan dvd collection.exe
●James Bond game – Die another day.exe
●John the ripper v1.0.exe
●Justin Timberlake Debute movie.exe
●Klez fixtool.exe
●Lord of the rings VCD.exe
●Love calculator.exe
●Mad Jack crack.exe
●MadJack crack.exe
●Mafia game crack noCD.exe
●Mcafee virusscanner crack.exe
●Microangelo crack.exe
●Most important hacker tool ever!.exe
●mp3 ripper.exe.exe
●msconfig.exe
●MSN 5.0 Banner remover.exe
●MSN Messenger commercial crack.exe
●MSN Password crack.exe
●MSN PLUS!.exe
●MXlinx 0.30 crack.exe
●Nikki cox game and movie.exe
●Norton antivirus crack.exe
●Office XP license crack.exe
●pornmovie (hardcore sex adult asian).exe
●Powerful MP3 ripper.exe
●Red Alert 2 [noCD].exe
●Red Alert 2 YR [noCD].exe
●Red Alert cracker crack – All versions (yuri, 1 ,2 etc).exe
●Rollercoaster tycoon 2 crack.exe
●Rollercoaster tycoon cracker.exe
●shortcut to northwind.lnk.exe
●Shriek DVD crack patch.exe
●Sim City 4 – no cd crack.exe
●Sim City 4 – no cd patch.exe
●Sim City 4 [noCD].exe
●Sim city 4 crack.exe
●Stop the war (intro).exe
●Stronghold Crusader crack- All versions [noCD].exe
●Stuart Little 2 crack game noCD.exe
●Super 2000key keygen.exe
●The Sims crack.exe
●Theme park world cracker.exe
●Tropico crack.exe
●Warcraft 3 crack.exe
●Webcracker.exe
●Website hacker v1.0.exe
●Windows Me crack.exe
●Windows XP license crack.exe
●Yaha Fixtool.exe

ピアツーピアを介した繁殖

W32/Winur.worm.bが実行されると隠しディレクトリ“c:\winrun”を作成します。このディレクトリに上記のファイル名およびシェルフォルダのPersonal、My Music、My Videoにあるファイル名で自身のコピーを作成します。このWINRUNフォルダは、KaZaa、Grokster、WinMXファイル共有アプリケーションのデフォルトの共有フォルダに設定されます。

このウイルスはc:\klez_removal.exeにも自身をコピーします。また、以下のレジストリ実行キーを作成して、起動時に自身を読み込むようにします。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “msconfig” = C:\winrun\msconfig.exe

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices “winrun” = C:\winrun\msconfig.exe

以下のレジストリキーも追加します。

●HKEY_CURRENT_USER\Software\Grokster\InstantMessaging “IgnoreAll” = REG_DWORD:1

●HKEY_CURRENT_USER\Software\Grokster\LocalContent “DisableSharing” = REG_DWORD:0

●HKEY_CURRENT_USER\Software\Grokster\Resultsfilter “adult_filter_level” = REG_DWORD:0
●HKEY_CURRENT_USER\Software\Grokster\Resultsfilter “virus_filter” = REG_DWORD:0

●HKEY_CURRENT_USER\Software\KaZaa\Advanced “ScanFolder” = REG_DWORD:1

●HKEY_CURRENT_USER\Software\KaZaa\InstantMessaging “IgnoreAll” = REG_DWORD:1

●HKEY_CURRENT_USER\Software\KaZaa\LocalContent “DisableSharing” = REG_DWORD:0

●HKEY_CURRENT_USER\Software\KaZaa\ResultsFilter “adult_filter_level” = REG_DWORD:0

●HKEY_CURRENT_USER\Software\KaZaa\ResultsFilter “bogus_filter” = REG_DWORD:0

●HKEY_CURRENT_USER\Software\KaZaa\ResultsFilter “firewall_filter” = REG_DWORD:0

●HKEY_CURRENT_USER\Software\KaZaa\ResultsFilter “virus_filter” = REG_DWORD:0

●HKEY_CURRENT_USER\Software\KaZaa\Settings “FolderWarning” = REG_DWORD:0

●HKEY_CURRENT_USER\Software\KaZaa\Settings “Quarantine” = C:\WINDOWS\Start Menu\Programs\StartUp

●HKEY_CURRENT_USER\Software\KaZaa\UserDetails “AutoConnected” = REG_DWORD:1

●HKEY_LOCAL_MACHINE\Software\Microsoft\MessengerService\

Policies “IMWarning” = (M)Warning: The person who you are talking to is infected with a virus. Send him the removal tool that can be found in C:\klez_removal.exe(M)

最後のレジストリキーは、ローカルのMSN Messengerユーザのシステムに警告メッセージを表示して、向こうのユーザにウイルスを発信するよう仕向けます。

フロッピーディスクを介した繁殖

A:割り知ってブに“IMPORTANT – READ THIS.DOC < 62 spaces > .exe”というファイル名でウイルスのコピーを保存します。

発病ルーチン

毎月24昼間の時間に、以下のメッセージボックスが表示されます。

毎月5昼間の時間、15昼間の時間、25昼間の時間には、3つの白人至上主義者のWebサイトにDoS攻撃を仕掛けます。

ネットワーク共有を介した繁殖

c:\Autostart.batファイルを作成して、NET VIEWコマンドの出力をc:\ntwrk32.dllファイルにリダイレクトします。c:\ntwrk32.dllファイルは、繁殖対象と入る現在のワークグループに属するシステムの一覧をウイルスに提供します。

C共有を利用して以下の合格に自身のコピーを作成します。

●windows\Start Menu\Programs\StartUp\msoffice32.exe
●windows\start menu\Programma s\Opstarten\msoffice32.exe
●Documents and Settings\All Users\Start menu\
●programs\startup\msoffice32.exe
●Documents and Settings\All Users\Menu Start\
●Programma s\Opstarten\msoffice32.exe

AVERTの試験では、ネットワーク共有繁殖による感染は起こりませんでした。

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルとメッセージボックスが存在します。

毎月5昼間の時間、15昼間の時間、25昼間の時間に、ファイアウォール本職グラムが、PINGがインターネットへのアクセスを試みていることを警告します。

感染手立て

W32/Winur.worm.bは、ICQ、KaZaa、GroksterおよびWinMXファイル共有アプリケーションを介して繁殖します。ネットワーク共有で繁殖することもあります。

,W32/Winur.worm.b対策