ウイルス情報

ウイルス名

W32/CodeBlue.worm

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4159
対応定義ファイル
(現在必要とされるバージョン)
4241 (現在7656)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 01/09/19
発見日(米国日付) 01/09/07
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

・このウイルスはMicrosoft's IIS serverソフトウェアを実行しているWindows NT/2000システムに感染します。

・W32/CodeBlue.wormはW32/CodeRed.wormと類似しているわけではありません。CodeRedとは違い、このウイルスは、感染マシーンに(ウイルス自身をドロップ(作成)すると言うよりは)感染させるリクエストを作成するために、ハードディスクにファイルを書き込みます。また、バッファ・オーバーフロー脆弱点は使用しません。

・W32/CodeBlue.wormは、感染対象のシステムを探して、ランダムなIPアドレスを狙います。このウイルスは、感染に「Web サーバー フォルダへの侵入」脆弱点を使用します。

・脆弱なシステムが発見されると、そのIPアドレスにリモートマシーンでFTPのGETリクエストを開始する、精巧なURLが送られます。これにより、IISフォルダにHTTPEXT.DLLファイルが実行権(scripts、msadc、iisadmin、_vti_bin、iissamples、iishelp、webpub)と共にダウンロードされます。こうして、ウイルスはURLリクエストを通じてこの.DLLを実行することができるようになります。一度このリクエストが作成されると、この.DLLは「C:\SVCHOST.EXE」ファイルを落とし込み、(注:SYSTEM32ディレクトリには、有効なSVCHOST.EXEがあります)スタートアップ時にこのファイルを実行するよう、レジストリ・ラン・キーを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Domain Manager=c:\svchost.exe

・このSVCHOST.EXEファイルは、VBSスクリプト(C:\D.VBS)を落とし込み、このスクリプトを呼び出した後、消去します。このスクリプトは、IISサービス・マッピングの.IDA、.IDQ、.PRINTERを消去します。

・また最後に、AM10:00〜AM11:00の間に、このウイルスは中国のウェブ・サイトに対し、サービス・アタックの拒否を始めます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・システムに「HTTPEXT.DLL」や「C:\SVCHOST.EXE」(28,672 バイト、または 14,336 バイト[packed]))がある場合

TOPへ戻る

感染方法

・このウイルスは「Web サーバー フォルダへの侵入」脆弱点を使用しMicrosoft IIS サーバーを狙います。

TOPへ戻る

駆除方法

TOPへ戻る