ウイルス情報

ウイルス名

SunOS/BoxPoison.worm

種別 インターネットワーム
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4138 (現在7659)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Sadmind (NAV), Sadmin-iis (Panda), Solaris/Sadmind.worm, Unix/Sadmind (Sophos)
情報掲載日 01/05/17
発見日(米国日付) 01/05/09
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

このウイルスは、SadMindという名称でも広く知られています。このウイルスが繁殖するには、パッチを当てていないSolaris(バージョン7、またはそれ以下)が必要になります。このウイルスはトロイの木馬PERL/WSFT-Exploitを悪用して、パッチが当っていないMicrosoft IIS ウェブ・サーバーを攻撃します。その際、このウイルスは、Solstice AdminSuiteのコンポーネントの一つであるSadmind プログラムのバッファ・オーバーフロー脆弱点を悪用します。具体的にはポート600を開けて、ランダムなIPアドレスをスキャンし、新たな攻撃対象システムを見つけ出そうとし、さらにWebの改竄を行います。

この場合、トップページが以下のような内容に書き換えられます。
f@#! USA Government
f@#! PoizonBOx


上記のバッファオーパーフロー脆弱点についてのより詳しい情報は、SUN Microsystemsのウェブサイトに掲載されています。
SUN Security Bulletin(英文)

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・TCP ポート600が開かれている

・以下のようなディレクトリが存在している
/dev/cub
/dev/cuc

TOPへ戻る

感染方法

感染したマシーンは、感染する他のシステムを探し出すため、適当なIP アドレスを探しています。一つ見つかると、そのコンピューターにウイルスを感染させるために、バッファ・オーバーフローが、使用されます。

TOPへ戻る

駆除方法

駆除には、指定されたエンジンとウイルス定義ファイルを使用して下さい。

Windows ME の場合

注意:Windows Meは、バックアップユーティリティを使って、選択されたファイルのバックアップを、C:\_Restoreフォルダに自動的に保存します。つまり、感染ファイルも同じくバックアップファイルとして保存される可能性があり、ウイルススキャンはこれらのファイルを消去することができません。C:\_Restoreフォルダからの感染ファイルの消去の方法は、下記の指示で説明しています。

システム復元機能を無効にする

  1. デスクトップのマイ・コンピュータを右クリックし、プロパティを開きます。
  2. 「パフォーマンス」タブをクリック
  3. 「ファイル・システム」ボタンをクリック
  4. 「トラブル・シューティング」タブをクリック
  5. 「システム復元を使用しない」をチェック
  6. 「OK」を2回クリック
  7. コンピューターを再起動するとを確認されますので、「はい」をクリック
    注意:システム復元機能は使用不可になります
  8. コンピューターをセーフ・モードで再起動します
  9. ウイルススキャンで全ての感染ファイルを消去するためにスキャンを実行、またはC:\_Restoreフォルダにあるファイルをブラウズし、ファイルを消去します
  10. 希望のファイルを消去したら、コンピューターを通常に再起動します
    注意:システム復元機能を再度、使用可にするには、1から7のステップを繰り返し、ステップ5で「システム復元を使用しない」のチェックマークを外します。感染ファイルは駆除され、システム復元機能は再度アクティブになります。
マイクロソフト社「システム復元機能を無効にする方法」もご参照下さい

TOPへ戻る