説明

I-Worm.Dumaru.j このワームは Dumaru ファミリの一種で、インターネットを経由して感染メッセージの添付ファイルとして拡散します。 当該ワームはバックドア機能を含みトロイの木馬プログラムが情報を盗むことを可能にします。 インストールするとき、このワームは自身を Windows システム ディレクトリにファイル名 l32.exe と vxd32.exe としてコピーし、スタートアップ ディレクトリにファイル名 dllxw.exe としてコピーします。当該ワームはアクセス可能なローカルディスク上の全てのディレクトリで拡張子 htm, wab, html, dbx, tbb, abd を持つファイルを検索し、電子メールアドレスを収集して感染メッセージをそれらのアドレスに送信します。 感染メッセージには以下のような特徴があります。 アドレス送信者: Elene F*****SUICIDE@HOTMAIL.COM メッセージ件名: Important information for you. Read it immediately ! 本文: Hi! Here is my photo, that you asked for yesterday. 添付ファイル: myphoto.zipメッセージを送信するため当該ワームは自身の SMTP エンジンを使用し、返信アドレスとして address@dyandex.ru を指定します。感染先システム上に存在するファイル内で発見したメールアドレスに自分自身を添付した電子メールを送信します。 当該ワームはポート 10000 を開きハッカのコマンドを受信します。 当該ワームはキーボードをログする機能を有し、キーボードにより入力された全ての情報を個別のファイルに保存できます。

追加/変更される値

システム レジスタに以下のキーを追加します: [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] \"load32\" = \"%windir%\\%system%\\l32x.exe\"

削除方法

RegRun Startup Optimizer を使用して当該ワームを削除してください。

[RegRun Startup Optimizerを使って]という記述は、Greatis Software社のRegRun製品の一部の機能です。削除のために特に本ツールを使う必要はありません。レジストリエディタ(Regedit)など、Windowsのスタートアップ エントリに登録されたプログラムを削除できるツールを使うことで除去が可能です。または、HijackThis, XRayPCなども同様の機能を提供しています。

MD5チェックサム

最終変更日

2006/02/08 (Wed)