ウイルス情報

ウイルス名 危険度

W32/Golten.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4407
対応定義ファイル
(現在必要とされるバージョン)
4407 (現在7628)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名 BackDoor-CJV W32.Scard (Symantec) W32/Aler.A.worm (Panda) Worm.Win32.Aler (AVP) WORM_GOLTEN.A (Trend)
情報掲載日 2004/11/16
発見日(米国日付) 2004/11/12
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Golten.wormは最近大量送信されたMS04-032のセキュリティホールを突いたコードを介してインストールされます。メッセージの内容は以下のとおりです。

・メッセージにはarafat_1.emfという名前のファイルが添付されており、こちらは単なる画像です。しかし、もう1つの添付ファイル、arafat_2.emfは、W32/Golten.wormを脆弱なシステムにインストールする特殊なEMFファイルです。この添付ファイルは現行のウイルス定義ファイルではExploit-MS04-032!gdiとして検出されます。

・W32/Golten.wormはADMIN$共有を介して繁殖し、既存の資格情報を使用してアクセス可能なリモートシステムに接続したり、セキュリティが不十分な管理者パスワードを使用してアクセスしたりします。ウイルス本体に組み込まれているパスワードは以下のとおりです。

  • stgzs
  • security
  • super
  • oracle
  • secret
  • root
  • admin
  • password
  • passwd
  • pass
  • 88888888
  • 888888
  • 00000000
  • 000000
  • 11111111
  • 111111
  • 1111
  • fan@ing*
  • 54321
  • 654321
  • ~!@#
  • !@#$%^
  • !@#$%
  • !@#$
  • 12345!@#$%
  • 1234!@#$
  • 123!@#
  • 12345678
  • 1234567
  • 123456
  • 12345
  • 1234
  • 123
  • 12

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・感染時には、以下のファイルがWindowsのシステムディレクトリ(c:\windows\system32など)に追加されます。

  • Alerter.exe
  • SPO0LSV.EXE
  • sptres.dll
  • spc.exe (BackDoor-CJV.dr)

・BackDoor-CJVドロッパ(spc.exe)により、以下のコンポーネントがインストールされます。

  • comwsock.dll (BackDoor-CJV)
  • dmsock.dll (BackDoor-CJV)
  • inetcfg.h (BackDoor-CJVのデータファイル)
  • mst.tlb (BackDoor-CJVのデータファイル)
  • SCardSer.exe (BackDoor-CJV)

・BackDoor-CJVドロッパにより以下のサービスが作成されます。

  • 名前: netlog
  • イメージのパス: %SystemRoot%\system32\SCardSer.exe
  • 表示名: Net Login Helper

・BackDoorのドアにより、dmsock.dllファイルが以下のいずれかひとつの実行中のプロセスに挿入されます。

  • lsass.exe
  • svchost.exe
  • explorer.exe
  • inetinfo.exe
  • qq.exe
  • msimn.exe
  • iexplore.exe
  • outlook.exe
  • msmsgs.exe
  • msnmsgr.exe

・dmsock.dllはランダムなTCPポート上で受信待機を行います。

TOPへ戻る

感染方法

・W32/Golten.wormはアクセス可能なネットワーク共有を介して繁殖します。EXPLORER.EXEのプロセスに挿入されるsptres.dllを含む複数のファイルをドロップ(作成)します。このsptres.dllがW32/Golten.wormのメインコンポーネントになります。

TOPへ戻る

駆除方法

このウイルスには、4407定義ファイルで対応いたします。4407定義ファイルは04/11/18に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

Windows ME/XPでの駆除についての補足

TOPへ戻る