Trend Micro Security

WORM_ZIMUS.A

2010年1月28日
 解析者: adel   
 プラットフォーム:

Windows 98, ME, NT, 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 すべての物理ドライブ内に自身のコピーを作成, リムーバブルドライブを介した感染活動

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

  詳細

ファイルサイズ 不定
タイプ PE
メモリ常駐 はい
発見日 2010年1月27日
ペイロード ファイルの削除

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\tokset.dll

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ワームは、以下のファイルを作成します。

  • %Program Files%\Dump\dump.exe - non-malicious
  • %User Temp%\instdrv.exe - non-malicious
  • %System%\drivers\mseu.sys - used by this malware to delete files
  • %System%\drivers\mstart.sys - used by this malware to delete files
  • %System%\mseus.exe - contains the main worm routine and MBR infection routine
  • %System%\ainf.inf - copy of autorun.inf
  • %User Temp%\Regini.exe - non-malicious file
  • %System%\ainf.inf - copy of autorun.inf
  • %System%\drivers\mseu.sys - used by this malware to delete files also detected as WORM_ZIMUS.A
  • %System%\drivers\mstart.sys - used by this malware to delete files also detected as WORM_ZIMUS.A
  • %System%\mseus.exe - contains the main worm routine and MBR infection routine also detected as WORM_ZIMUS.A

(註:%Program Files%は、標準設定では "C:\Program Files" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ワームは、以下のフォルダを作成します。

  • %Program Files%\Dump

(註:%Program Files%は、標準設定では "C:\Program Files" です。)

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog\System\
MSTART
(Default) =  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Mseu
(Default) =  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSTART
(Default) =  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UnzipService
(Default) =  

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Dump = %Program Files%\Dump\Dump.exe

他のシステム変更

ワームは、以下のファイルを削除します。

  • %User Temp%\Dump.ini
  • %User Temp%\mseu.ini
  • %User Temp%\mseus.ini
  • %User Temp%\Regini.exe
  • %User Temp%\instdrv.exe
  • C:\BOOT.INI
  • C:\BOOTMGR
  • C:\BOOTMGR.BAK
  • C:\BOOTSECT
  • C:\BOOTSECT.BAK
  • C:\Documents and Settings\*.*
  • C:\Documents and Settings\Administrator\My Documents\*.*
  • C:\HYBERFILE.SYS
  • C:\NTDETECT.COM
  • C:\NTLDR
  • C:\System Volume Information\*.*
  • C:\Users\*.*
  • C:\Users\Administrator\*.*
  • D:\Documents and Settings\*.*
  • D:\Documents and Settings\Administrator\My Documents\*.*
  • D:\System Volume Information\*.*
  • D:\Users\*.*
  • D:\Users\Administrator\*.*
  • E:\Documents and Settings\*.*
  • E:\Documents and Settings\Administrator\My Documents\*.*
  • E:\System Volume Information\*.*
  • E:\Users\*.*
  • E:\Users\Administrator\*.*
  • F:\Documents and Settings\*.*
  • F:\Documents and Settings\Administrator\My Documents\*.*
  • F:\System Volume Information\*.*
  • F:\Users\*.*
  • F:\Users\Administrator\*.*
  • G:\Documents and Settings\*.*
  • G:\Documents and Settings\Administrator\My Documents\*.*
  • G:\System Volume Information\*.*
  • G:\Users\*.*
  • G:\Users\Administrator\*.*
  • H:\Documents and Settings\*.*
  • H:\Documents and Settings\Administrator\My Documents\*.*
  • H:\System Volume Information\*.*
  • H:\Users\*.*
  • H:\Users\Administrator\*.*
  • I:\Documents and Settings\*.*
  • I:\Documents and Settings\Administrator\My Documents\*.*
  • I:\System Volume Information\*.*
  • I:\Users\*.*
  • I:\Users\Administrator\*.*
  • J:\Documents and Settings\*.*
  • J:\Documents and Settings\Administrator\My Documents\*.*
  • J:\System Volume Information\*.*
  • J:\Users\*.*
  • J:\Users\Administrator\*.*

(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • zipsetup.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
shellexecute=zipsetup.exe /H

  対応方法

対応検索エンジン: 8.900
VSAPI OPR パターンバージョン 6.827.00

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_ZIMUS.A」で検出したパス名およびファイル名を確認し、メモ等をとってください。


ご利用はいかがでしたか? アンケートにご協力ください