ウイルス情報

ウイルス名 危険度

W32/Gaobot.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4230
対応定義ファイル
(現在必要とされるバージョン)
5222 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Agobot.01 (AVP)
情報掲載日 02/10/22
発見日(米国日付) 02/10/15
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • W32/Gaobot.worm は、スキャンエンジン 4.160 を使用した 4230 以前の定義ファイルで、プログラムヒューリスティックを有効にしてスキャンすると、New Backdoor1 として検出されます。
  • このウイルスは、IRC Bot を装い、KaZaA や共有ネットワークを介して繁殖します。このウィルスが実行されると、現在は休止中の、任意のサイトに接続して、Half-Life や Warcraft III などのゲームで使用する CD キーを取得しようとします。
  • 次に、WINDOWS SYSTEM ディレクトリに自身をコピーし、レジストリ内でそのコピーを参照することで、起動時に読み込まれるようにします。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Config Loader" = sysldr32.exe
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "Config Loader" = sysldr32.exe

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 次のようなアイコンを持つ、%SysDir%\Sysldr.exe ファイルが存在する。

  • ファイアウォールが、ポート 9990 のトラフィックを検出する。

TOPへ戻る

感染方法

  • KaZaA を介して繁殖する場合、さまざまなファイルネーム(特にクラックソフトやポルノに関連した名前)をつけることで、ユーザにファイルを実行するよう仕向ける。
  • 開いている共有ネットワークを介して繁殖する場合、一般的なユーザ名とパスワードを利用して、パスワードで保護された共有ネットワークに進入しようとする。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る