製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス情報

ウイルス名
W32/CodeBlue.worm
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4159
対応定義ファイル
(現在必要とされるバージョン)
4241 (現在7536)
対応エンジン4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日01/09/19
発見日(米国日付)01/09/07
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/19RDN/Spybot.b...
08/19Generic Drop...
08/19W32/Expiro!B...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7536
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

・このウイルスはMicrosoft's IIS serverソフトウェアを実行しているWindows NT/2000システムに感染します。

・W32/CodeBlue.wormはW32/CodeRed.wormと類似しているわけではありません。CodeRedとは違い、このウイルスは、感染マシーンに(ウイルス自身をドロップ(作成)すると言うよりは)感染させるリクエストを作成するために、ハードディスクにファイルを書き込みます。また、バッファ・オーバーフロー脆弱点は使用しません。

・W32/CodeBlue.wormは、感染対象のシステムを探して、ランダムなIPアドレスを狙います。このウイルスは、感染に「Web サーバー フォルダへの侵入」脆弱点を使用します。

・脆弱なシステムが発見されると、そのIPアドレスにリモートマシーンでFTPのGETリクエストを開始する、精巧なURLが送られます。これにより、IISフォルダにHTTPEXT.DLLファイルが実行権(scripts、msadc、iisadmin、_vti_bin、iissamples、iishelp、webpub)と共にダウンロードされます。こうして、ウイルスはURLリクエストを通じてこの.DLLを実行することができるようになります。一度このリクエストが作成されると、この.DLLは「C:\SVCHOST.EXE」ファイルを落とし込み、(注:SYSTEM32ディレクトリには、有効なSVCHOST.EXEがあります)スタートアップ時にこのファイルを実行するよう、レジストリ・ラン・キーを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Domain Manager=c:\svchost.exe

・このSVCHOST.EXEファイルは、VBSスクリプト(C:\D.VBS)を落とし込み、このスクリプトを呼び出した後、消去します。このスクリプトは、IISサービス・マッピングの.IDA、.IDQ、.PRINTERを消去します。

・また最後に、AM10:00〜AM11:00の間に、このウイルスは中国のウェブ・サイトに対し、サービス・アタックの拒否を始めます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・システムに「HTTPEXT.DLL」や「C:\SVCHOST.EXE」(28,672 バイト、または 14,336 バイト[packed]))がある場合

感染方法TOPへ戻る

・このウイルスは「Web サーバー フォルダへの侵入」脆弱点を使用しMicrosoft IIS サーバーを狙います。

駆除方法TOPへ戻る