ウイルス情報

ウイルス名 危険度

W32/Gaobot.worm.aa

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4292
対応定義ファイル
(現在必要とされるバージョン)
4326 (現在7633)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/09/09
発見日(米国日付) 03/09/05
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Gaobot.worm.aaはこれまでに発見された亜種(例えばW32/Gaobot.worm.z)と同様に、以下の脆弱性を悪用して繁殖します。

・W32/Gaobot.worm.aaが実行されると、%SysDir%ディレクトリに以下のファイル名で自身をコピーします。

  • SCVHOST.EXE
    (%SysDir%はSystemディレクトリです。例えば、C:\WINNT\SYSTEM32です。)

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "Config Loader" = SCVHOST.EXE
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunServices "Config Loader" = SCVHOST.EXE

・これまでの亜種と同様に、W32/Gaobot.worm.aaはMSVCP60.DLLがなければ実行されません。MSVCP60.DLLは標準MS Visual C DLLで、このファイルがシステムに存在しない場合は、ワームは実行されません。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ターゲットマシンのポート5599が開いています。

・上記のレジストリキーとファイル名が存在します。

・TCPポート135(MS03-026関連)、およびTCPポート445(MS03-001関連)のトラフィックが増加します。

・予期せず、以下のリモートのIRCサーバ(ポート9900)への送信ネットワークトラフィックが発生します。

  • bunghole.mysqld.com

TOPへ戻る

感染方法

・W32/Gaobot.worm.aaは、セキュリティが不十分なネットワーク共有で繁殖します。以下の有名な2つの脆弱性を悪用します。

・開いている共有で繁殖する場合、よく使われるユーザ名とパスワードのリストを用いて、パスワードで保護された共有に侵入を試みます。このリストには、典型的かつ、簡単なユーザ名とパスワードの組合せが含まれています。以下のような連続したキーを含むパスワードは使用しないでください。

  • qwerty
  • 012345
  • xyz
    (またはこれらの組合せ)

・ターゲットマシンでW32/Gaobot.worm.aaが実行されるとIRCボットとしても機能し、以下のリモートのIRCサーバ(ポート9900)のチャネルに参加します。

  • bunghole.mysqld.com

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る