BAT.Mumu.A.Worm

根深いワームウイルス

BAT.Mumu.A.WormはWindowsに感染するワームウイルスであり、NT/2000/XPでの感染が確認されています。
ワームとしては、バッチファイル、情報設定ファイル、インストーラー、テキストファイル、ユーティリティファイルなどで使用されます。

感染するとまず最初にStart.batが実行されます。
他のファイルをいくつか呼び出し、それらをLAN.LOGというファイルを保存します。
列挙されたファイルにMUといいもじれつがあると、nwiz.exeが起動し、起動後はLAN.LOGは削除されます。

次にipcfind.txtファイルを削除、Hfind.exeでIPアドレスを引数として渡します。
Hfind.exeで管理者共有のパスワードを探し、それにより発見した全アカウントで管理者共有を使い関連ファイルを全てコピーします。
ファイルコピーに成功すると、リモート上でワームを起動させようとします。
最後にサービスを作成し、Windows機動のたびにワームが起動するようになります。

BAT.Mumu.A.Wormは、多数のバッチファイルとユーティリティーに、Hacktool.Haclineというハッキングを組み合わせているワームになります。
このワームが使用するファイルのファイル名は変更され、機能も変更されることがあります。

Windows NT/2000/XPのシステム上で管理者共有を使い感染を広げます。
そのために、共有設定をしているようなパソコンがあると、そのパソコンにもワームが感染する可能性があります。
このワームはWindows95/98/Meのシステムでも動作しますが、有害な活動は行わず、これらのOSを使用しているパソコンも少ないので、これらのOSでは実質的な被害は無いと言えます。

手動でも駆除は可能

リスクを最も容易にして簡単に駆除する方法は、シマンテック提供の駆除ツールを使用します。
また手動によっても駆除することができます。

1. Windows Me/XP では、システムの復元機能を無効にします。
2. 該当する場合は、ワームの有害プロセスを探し終了します。
3.次にワームの有害サービスを探し終了します。
そしてサービス終了後には、adminアカウントに行われた変更を元にします。
4. アンチウイルスソフトのウイルス定義を最新版にします。
5. システム全体スキャンを行い、BAT.Mumu.A.WormまたはHacktool.Haclineとして、検出されたファイルをすべて削除します。
スキャンで検出されない不要なファイルは、すべて手動で削除します。

専用の駆除ツールを使用すると、ウイルスプロセスを終了し、関連ファイルを削除し、関連サービスを停止し、adminアカウントを無効にして、感染の驚異を駆除します。