【詳細情報】Klez削除ツールを装うWinurワーム

◆概要：
　Winurは、Klezワーム削除ツールを装う新しいワームである。Winurはサイズが61,440バイトで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャット、そしてその他のファイル共有媒体を介して他のコンピュータに拡散する。

　通常Winurは、ピアツーピアネットワーク又はリムーバブルメディアを介して拡散する。Winurは、意図したように動作するためにファイルmsvbvm60.dllを必要とする。実行されると、ワームが偽のエラーメッセージを表示する。次に、C:ドライブにklez_removal.exeというファイルを作成し、A:ドライブに「Important - read this.doc62 spaces.exe.」というファイル名で別のファイルを作成する。

　又、C:ドライブにWinrunという名前の隠しディレクトリを作成する。
「Adobe Photoshop cracker.exe」、「Britney spears game.exe」、「msconfig.exe」、「Klez fixtool.exe」など、P2Pネットワークを介してダウンロードされる人気の高いファイルの名前を使って、この隠しディレクトリ内にワームのコピーが複数作成される。

　Winurは、Winrunディレクトリのmsconfig.exeというファイルが実行されるようにWindowsのレジストリを書き換える。実は、このファイルはワームのコピーで、Windowsオペレーティングシステムで同じ名前を持つ正当なファイルではない。又、ワームはC:ドライブにAutostart.bat及びNtwrk32.dllというファイルも作成するが、これらのファイルは不正ファイルであるとは考えられていない。

　一旦インストールされると、Winurが3つの.org webサイトに対してICMPエコー攻撃を実行する。攻撃は、任意の月の5日、15日、25日のみ発生する。

◆別名：
　WORM_WINUR.A、WINUR.A、WINUR、W32.HLLW.WINUR

◆情報ソース：
・Trend Micro Inc. ( http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_WINUR.A ) , Feb. 04, 2003
・Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/w32.hllw.winur.html ) , Feb. 03, 2003

◆キーワード：
　Trojan: Denial of service Worm: Script
　Worm: Other

◆分析：
　(iDEFENSE US) Winurは、危険度の低いワームであると考えられる。このワームは、主にリムーバブルメディアを介してゆっくりと拡散し、限られたWindowsコンピュータにしか存在しないランタイムファイルの存在を必要とする。

◆検知方法：
　リムーバブルメディアでファイル「Important - read this.doc62 spaces.exe」を探す。

◆リカバリー方法：
　この不正プログラムに関連する全ファイルとWindowsのレジストリキーを削
除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。
全てのアンチウイルス及びセキュリティ関連ソフトウェアの機能を検証する。

◆暫定処置：
　新しいファイルはすべて慎重に取り扱い、最新アンチウイルスソフトでスキャンした後、使用する。

◆ベンダー情報：
　この不正プログラムに対応する最新のワクチン定義ファイルが、いくつかのアンチウイルスベンダーからリリースされるか、またはアンチウイルスアプリケーションによっては、不正プログラムを検知するものもあると思われる。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【03:17 GMT、02、05、2003】