BAT.Mumu.A.Worm

• 10.bat: 有害なバッチファイル
• hack.bat: 有害なバッチファイル
• hfind.exe: ハッキング。Hacktool.Hacline として検出されます。
• ipc.bat: 有害なバッチファイル
• muma.bat: 有害なバッチファイル
• near.bat: 有害なバッチファイル
• ntservice.bat: "Application" サービスをいったん終了し、ntservice.exe を -install 引数を使って実行した後、"Application"サービスを起動し直す有害なバッチファイル。
• ntservice.exe: UPX で圧縮されている実行形式ファイル。NTService.ini に記述されているサービスを作成します。
• NTService.ini: "Application" という名前をつけ、cmd.exe /ss.bat を実行するサービス情報設定ファイル
• nwiz.exe: 正規の nVidia 製 アプリケーション
• nwize.exe pcGhost ユーティリティーのインストーラ
• nwiz.in_: 設定ファイル
• nwiz.ini: 設定ファイル
• ipcpass.txt: テキストファイル
• tihuan.txt: テキストファイル
• rep.exe: 正規の文字列置換ユーティリティ
• psexec.exe: リモートからプロセスを起動するための正規の Sysinternals 製ユーティリティ
• random.bat: 有害なバッチファイル
• replace.bat: 有害なバッチファイル
• ss.bat: adminアカウントのユーザを作成し、リモートのコンピュータ上で psexec を実行するバッチファイル。
• start.bat: 有害なバッチファイル
• pcmsg.dll: pcGhost ユーティリティの正規ファイル （シマンテックのクローン作成ソフト Ghost と混同しないでください。）

1. C-H ドライブを調べて \MU フォルダ（サブフォルダも含む）内の全ファイルを探し出し、それらを LAN.LOG というファイルに保存します。そのファイルに列挙されたファイルのいずれかに"MU"という文字列が含まれる場合、nwiz.exe が起動されます。この処理の完了後、LAN.LOG は削除されます。

2. ipcfind.txt ファイルを削除し、Hfind.exe というハッキング（NAV では Hacktool.Hacline として検出されます）を呼び出し、一定範囲の IP アドレスをコマンドライン引数として渡します。渡される IP アドレスの範囲は、ランダムな2オクテットに .0.1 が続くアドレスから、範囲の先頭と同じ2オクテットに .255.255 が続くアドレスまでです。

Hfind.exe は管理者共有のパスワードを探し出し、その情報を ipcfind.txt に保存します。 このは次のパスワードを使用します。

password
passwd
admin
pass
123
1234
12345
123456
<なし>

3. Tihuan.txt ファイルを ipcfind.txt で置き換えます。

4. Hfind.exe は上記の方法で発見した全アカウントに対し、管理者共有を使って、そのシステムの %System% フォルダに前述のファイルをすべてコピーします。



---

注意: %System%は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。このフォルダは、標準では C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) または C:\Windows\System32 (Windows XP) です。


---


5. ファイルのコピーに成功すると、ワームは psexec.exe を使って start.bat を起動し、リモートのコンピュータ上でワームを起動させようとします。

6. 最後に、ワームは netstat コマンドを実行します。その後、Near.bat というバッチファイルを呼び出してIPアドレスを供給しようとします。しかし、Near.bat は他のファイルと一緒にはコピーされないため、この部分の機能はうまく動作しません。

7. Windows NT/2000/XP 上では、ワームはあるサービス (標準のサービス名は"Application") を作成します。そのサービスは、Windows の起動時に毎回必ず ss.bat ファイルが起動するようにします。

8. Ss.bat は admin という名前のアカウントを作成し （すでに存在する場合は改変します）、そのアカウントのパスワードを KKKKKKK に設定し、Administrators グループに追加します。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
• 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
• パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
• 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。