ウイルス情報

ウイルス名 危険度

W32/Bobax.worm.a

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4361
対応定義ファイル
(現在必要とされるバージョン)
4361 (現在7634)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/05/18
発見日(米国日付) 04/05/17
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Bobax.worm.cは自己実行型ワームで、Microsoft Windowsのセキュリティホール[MS04-011の脆弱性(CAN-2003-0533)]を利用することで繁殖します。

注:ユーザーは、このワームを利用した攻撃を防ぐためにMicrosoft Windowsのセキュリティ修正プログラムをインストールする必要があります。

参照:http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-011.asp

・W32/Bobax.worm.aはランダムなファイル名で繁殖します。動作すると、DLLをドロップ(作成)し、EXPLORER.EXEプロセスに挿入します。DLLにはワームの主機能が組み込まれています。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Bobax.worm.aはランダムなファイル名で%SysDir%に自身をコピーします。・自身をシステム起動時にロードするため、以下のレジストリキーを追加します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "(ランダムな文字列)" = %SysDir%\(ランダムなファイル名).exe
・(%SysDir%は、Systemディレクトリ。例:C:\WINNT\SYSTEM32)

・W32/Bobax.worm.aの実行ファイルが実行されると、DLLを一時ディレクトリにドロップ(作成)し、EXPLORER.EXEプロセスに挿入します。この挿入の副作用として、ターゲットマシン上のEXPLORER.EXEが予期せず終了する場合があります。

・W32/Bobax.worm.aのもう1つの副作用として、ターゲットマシン上のLSASS.EXEがクラッシュする場合があります。クラッシュが起きると、以下のウィンドウが表示され、システムが再起動する場合があります。

TOPへ戻る

感染方法

・AVERTの初期の分析において、W32/Bobax.worm.aはIPをスキャンし、セキュリティホールを利用できるマシンを検索すると考えられています。該当するマシンを発見すると、LSASS.EXE内のバッファをオーバーフローさせ、リモートシェルを作成します。次にHTTPを介して攻撃元のホストからW32/Bobax.worm.aをダウンロードします。

・なお、W32/Bobax.worm.aは現在分析中であり、分析完了後に情報を更新する予定です。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

このウイルスには、4361定義ファイルで対応いたします。4361定義ファイルは04/05/20に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

Windows ME/XPでの駆除についての補足

TOPへ戻る