製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:D
ウイルス情報
ウイルス名危険度
W32/Deloder.worm
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4252
対応定義ファイル
(現在必要とされるバージョン)
4252 (現在7495)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名Deloder (F-Secure): dlvdr32.exe: W32.HLLW.Deloder (Symantec): W32/Deloder-A (Sophos): Worm.Win32.Deloder (AVP): WORM_DELODER.A (Trend)
情報掲載日03/03/10
発見日(米国日付)03/03/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Deloder.wormは、単純なパスワードで保護されたネットワーク共有を介して繁殖します。ネットワークが感染すると、TCPポート445のトラフィックが増加します。このワームの繁殖にはWindows 2000/XPシステムが必要です。また、BackDoor-ARGおよびIRC-Picthforkのインストーラを落とし込みます。

・このワームはアクセス可能な共有にDvldr32.exeというファイル名で自身をコピーして、Remote Process Launchツール(PSEXEC.EXE)で作成したコピーをリモート実行します。このファイルが実行されると、以下のレジストリキー値を作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "messnger" = %worm path%.

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
4月11日更新情報

・新たな亜種が発見されました。以下のファイルを落とし込みます。

ファイル名 ファイルサイズ タイプ
Dvldr32.exe 802,824 バイト ワーム
inst.exe 684,562 バイト RemoteAdmin.dr:トロイの木馬ドロッパ
hypertrm.exe 241,664 バイト RemoteAdmin.svr として検出されるリモート管理ツール
AdmDll.dll 90,112 バイト RemoteAdmin.svr によって使用されるファイル
raddrv.dll 29,408 バイト RemoteAdmin.svr によって使用されるファイル
psexec.exe 36,352 バイト Remote Process Launchアプリケーション
(UPX圧縮されているこのファイルは、現在の定義ファイルではIRC/Flood.i として発見されます。)


・W32/Deloder.wormに関連したファイルは以下のとおりです

ファイル名 ファイルサイズ タイプ
cygwin1.dll 944,968バイト 無害なファイルだが、IRCボットIRC-Picthforkで使用される
dvldr32.exe 745,984バイト ワーム
explorer.exe 212,992バイト 改名されたVNCアプリケーション(BackDoor-ARG参照)
inst.exe 684,562バイト ドロッパ(BackDoor-ARGaをドロップ(作成)する)
omnithread_rt.dll 57,344バイト VNCアプリケーション
psexec.exe 36,352バイト Remote Process Launchアプリケーション
(UPX圧縮されているこのファイルは、現在の定義ファイルではIRC/Flood.i として発見されます。)
rundll32.exe 29,336バイト IRCボットIRC-Picthfork
VNCHooks.dll 32,768バイト VNCアプリケーション

下に表示したSniffer Matrix Viewに見られるように、このワームは、感染マシンからリモートマシンのポート445に非常に高いTCPトラフィックを生じさせます。

感染方法TOPへ戻る

・このワームはWin9x/MEシステム上では機能しませんが、これらのシステムでも繁殖します。ワームのメインコンポーネントが実行されると、バックドア型トロイの木馬のインストーラ(INST.EXE)およびRemote Process Launchを落とし込みます。アクセス可能なネットワーク共有を介してリモートシステムに自身のコピーを作成し、実行します。IPC$共有に接続して、以下のパスワードを使用します。

  • 0
  • 000000
  • 00000000
  • 007
  • 1
  • 110
  • 111
  • 111111
  • 11111111
  • 12
  • 121212
  • 123
  • 123123
  • 1234
  • 12345
  • 123456
  • 1234567
  • 12345678
  • 123456789
  • 1234qwer
  • 123abc
  • 123asd
  • 123qwe
  • 2002
  • 2003
  • 2600
  • 54321
  • 654321
  • 88888888
  • a
  • aaa
  • abc
  • abc123
  • abcd
  • Admin
  • admin<
  • admin123
  • administrator
  • alpha
  • asdf
  • computer
  • database
  • enable
  • foobar
  • god
  • godblessyou
  • home
  • ihavenopass
  • Internet
  • Login
  • login
  • love
  • mypass
  • mypass123
  • mypc
  • mypc123
  • oracle
  • owner
  • pass
  • passwd
  • Password
  • password
  • pat
  • patrick
  • pc
  • pw
  • pw123
  • pwd
  • qwer
  • root
  • secret
  • server
  • sex
  • super
  • sybase
  • temp
  • temp123
  • test
  • test123
  • win
  • xp
  • xxx
  • yxcv
  • zxcv

・リモートシステムの以下の共有フォルダにも、トロイの木馬のインストーラを落とし込みます。

  • C$\WINNT\All Users\Start Menu\Programs\Startup\inst.exe
  • C\WINDOWS\Start Menu\Programs\Startup\inst.exe
  • C$\Documents and Settings\All Users\Start Menu\Programs\Startup\inst.exe

・また、以下の共有を削除します。

  • C$
  • D$
  • E$
  • F$
  • IPC$
  • ADMIN$

・DVLDR32.EXE ファイルが起動すると、, PSEXEC.EXE と INST.EXE ファイルがローカルパスに解凍されます。