ウイルス情報

ウイルス名 危険度

W32/Gaobot.worm.ai

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4297
対応定義ファイル
(現在必要とされるバージョン)
4326 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.HLLW.Gaobot.AE (Symantec):WORM_AGOBOT.AD (Trend)
情報掲載日 03/10/06
発見日(米国日付) 03/10/03
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Gaobot.worm.aiはこれまでに発見された亜種(例えばW32/Gaobot.worm.aa)と同様に、以下の脆弱性を悪用して繁殖します。

・W32/Gaobot.worm.aiが実行されると、%SysDir%ディレクトリに以下のファイル名で自身をコピーします。

  • SCVHOST.EXE
    (%SysDir%はSystemディレクトリです。例えば、C:\WINNT\SYSTEM32です。)

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "Config Loader" = SCVHOST.EXE
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunServices "Config Loader" = SCVHOST.EXE

・これまでの亜種と同様に、W32/Gaobot.worm.aiはMSVCP60.DLLがなければ実行されません。MSVCP60.DLLは標準MS Visual C DLLで、このファイルがシステムに存在しない場合は、ワームは実行されません。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のレジストリキーとファイル名が存在します。

・TCPポート135(MS03-026関連)、およびTCPポート445(MS03-001関連)のトラフィックが増加します。

・NetScheduleJob APIコールを参照して、リモート実行する予定タスクを感染システムに設定します。

・予期せず、以下のリモートのIRCサーバへの送信ネットワークトラフィックが発生します。

  • bunghole.mysqld.com

・予期せず、以下のサーバへの送信トラフィックが発生します。

  • postmaster.info.aol.com
  • mailin-01.mx.aol.com
  • mailin-02.mx.aol.com
  • mailin-03.mx.aol.com
  • mailin-04.mx.aol.com

・以下のプロセスを終了します。

  • _AVP32.EXE
  • _AVPCC.EXE
  • _AVPM.EXE
  • ACKWIN32.EXE
  • ANTI-TROJAN.EXE
  • APVXDWIN.EXE
  • AUTODOWN.EXE
  • AVCONSOL.EXE
  • AVE32.EXE
  • AVGCTRL.EXE
  • AVKSERV.EXE
  • AVNT.EXE
  • AVP.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPDOS32.EXE
  • AVPM.EXE
  • AVPTC32.EXE
  • AVPUPD.EXE
  • AVSCHED32.EXE
  • AVWIN95.EXE
  • AVWUPD32.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFINET.EXE
  • CFINET32.EXE
  • CLAW95.EXE
  • CLAW95CF.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • DVP95.EXE
  • DVP95_0.EXE
  • ECENGINE.EXE
  • ESAFE.EXE
  • ESPWATCH.EXE
  • F-AGNT95.EXE
  • FINDVIRU.EXE
  • FPROT.EXE
  • F-PROT.EXE
  • F-PROT95.EXE
  • FP-WIN.EXE
  • FRW.EXE
  • F-STOPW.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • IBMASN.EXE
  • IBMAVSP.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICSUPPNT.EXE
  • IFACE.EXE
  • IOMON98.EXE
  • JEDI.EXE
  • LOCKDOWN2000.EXE
  • LOOKOUT.EXE
  • LUALL.EXE
  • MOOLIVE.EXE
  • MPFTRAY.EXE
  • N32SCANW.EXE
  • NAVAPW32.EXE
  • NAVLU32.EXE
  • NAVNT.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORMIST.EXE
  • NUPGRADE.EXE
  • NVC95.EXE
  • OUTPOST.EXE
  • PADMIN.EXE
  • PAVCL.EXE
  • PAVSCHED.EXE
  • PAVW.EXE
  • PCCWIN98.EXE
  • PCFWALLICON.EXE
  • PERSFW.EXE
  • RAV7.EXE
  • RAV7WIN.EXE
  • RESCUE.EXE
  • SAFEWEB.EXE
  • SCAN32.EXE
  • SCAN95.EXE
  • SCANPM.EXE
  • SCRSCAN.EXE
  • SERV95.EXE
  • SMC.EXE
  • SPHINX.EXE
  • SWEEP95.EXE
  • TBSCAN.EXE
  • TCA.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • VET95.EXE
  • VETTRAY.EXE
  • VSCAN40.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSSTAT.EXE
  • WEBSCANX.EXE
  • WFINDV32.EXE
  • ZONEALARM.EXE

TOPへ戻る

感染方法

・W32/Gaobot.worm.aiは、アクセス可能なネットワーク共有、またはセキュリティが不十分なネットワーク共有で繁殖します。以下の有名な2つの脆弱性を悪用します。

・以下のデフォルトの管理共有を介して繁殖を試みます。

  • print$
  • e$
  • d$
  • c$
  • admin$
  • ipc$

・W32/Gaobot.worm.aiは、よく使われるユーザ名とパスワードのリストを内蔵しています。このリストには、典型的かつ簡単なユーザ名とパスワードの組合せが掲載されています。以下のような連続したキーを含むパスワードは使用しないでください。

  • 000000
  • 00000000
  • 007
  • 1
  • 110
  • 111
  • 111111
  • 11111111
  • 12
  • 121212
  • 123
  • 123123
  • 1234
  • 12345
  • 123456
  • 1234567
  • 12345678
  • 123456789
  • 1234qwer
  • 123abc
  • 123asd
  • 123qwe
  • 2002
  • 2600
  • 54321
  • 654321
  • 88888888
  • a
  • aaa
  • abc
  • abcd
  • Admin
  • admin
  • Administrador
  • Administrateur
  • administrator
  • Administrator
  • alpha
  • asdf
  • computer
  • database
  • Default
  • Dell
  • enable
  • foobar
  • Gast
  • god
  • godblessyou
  • Guest
  • home
  • ihavenopass
  • Internet
  • Inviter
  • Login
  • love
  • mgmt
  • mypass
  • mypc
  • oracle
  • owner
  • Owner
  • pass
  • passwd
  • Password
  • password
  • pat
  • patrick
  • pc
  • pw
  • pwd
  • qwer
  • root
  • secret
  • server
  • sex
  • Standard
  • super
  • sybase
  • temp
  • test
  • Test
  • User
  • win
  • x
  • xp
  • xxx
  • xyz
  • yxcv
  • zxcv

・実行されるとIRCボットとしても機能し、以下のリモートのIRCサーバでチャネルに参加します。

  • bunghole.mysqld.com

・リモートサーバに接続するとコマンドを受け取り、以下のようなさまざまタスクを実行します。

  • ボット機能の停止
  • システム情報を取得
  • ボットのステータスを取得
  • ファイルを開く
  • (FTTP、またはHTTPで)ファイルをダウンロードして、実行
  • サービス拒否攻撃の実行

・以下のゲームソフトウェアのCDキーを詐取します。

  • Chrome
  • Soldier of Fortune II - Double Helix
  • Neverwinter
  • Nox
  • Tiberian Sun
  • Red Alert 2
  • Red Alert
  • Project IGI 2
  • Command & Conquer Generals
  • Battlefield 1942 Secret Weapons of WWII
  • Battlefield 1942 The Road to Rome
  • Battlefield 1942
  • Nascar 2003
  • Nascar 2002
  • Nascar Racing 2002
  • NHL 2003
  • NHL 2002
  • FIFA 2003
  • FIFA 2002
  • Need For Speed Hot Pursuit 2
  • The Gladiators
  • UT2003
  • LoMaM
  • Counter-Strike
  • Half-Life CDKey

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る