ウイルス情報

ウイルス名 危険度

W32/Bobax.worm.c

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4361
対応定義ファイル
(現在必要とされるバージョン)
4361 (現在7656)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/05/27
発見日(米国日付) 04/05/18
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Bobax.worm.cは自己実行型ワームで、以下の2つのMicrosoft Windowsのセキュリティホールを利用することで繁殖します。

[MS04-011の脆弱性(CAN-2003-0533)]

[MS03-026] RPC/DCOMの脆弱性

注:感染したシステムには、W32/Bobax.worm.cによるセキュリティホールを利用した攻撃を防ぐためにMicrosoft Windowsのセキュリティ修正プログラムをインストールする必要があります。

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-011.asp

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp

・W32/Bobax.worm.cはランダムなファイル名で繁殖します。動作すると、DLLをドロップ(作成)し、EXPLORER.EXEプロセスに挿入します。DLLにはワームの主機能が組み込まれています。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Bobax.worm.cはランダムなファイル名で%SysDir%に自身をコピーします。自身をシステム起動時にロードするため、以下のレジストリキーを追加します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "(random string)" = %SysDir%\(random filename).exe
・(%SysDir%は、Systemディレクトリ。例:C:\WINNT\SYSTEM32)

・W32/Bobax.worm.cの実行ファイルが実行されると、DLLを一時ディレクトリにドロップ(作成)し(18,997バイト)、EXPLORER.EXEプロセスに挿入します。この挿入の副作用として、ターゲットマシン上のEXPLORER.EXEが予期せず終了する場合があります。

・W32/Bobax.worm.cのもう1つの副作用として、ターゲットマシン上のLSASS.EXEがクラッシュする場合があります。クラッシュが起きると、以下のウィンドウが表示され、システムが再起動する場合があります。

・W32/Bobax.worm.cは複数のサイトにアクセスします。常に以下のURLがリクエストされます。

  • http://[hostname]/reg?u=[8-digit hex id]&v=117
・成功すると、他のファイルをシステムにダウンロードし、感染したシステムにスパムリレーをセットアップする可能性があります。

TOPへ戻る

感染方法

・AVERTの初期の分析において、W32/Bobax.worm.cはIPをスキャンし、セキュリティホールを利用できるマシンを検索すると考えられています。該当するマシンを発見すると、LSASS.EXE内のバッファをオーバーフローさせ、リモートシェルを作成します。さらに、RPCインタフェースでバッファをオーバーランして拡散しようとします。バッファオーバーラン後、リモートHTTPサーバから(HTTPを介して)ワームをダウンロードします。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る