ウイルス情報

ウイルス名 危険度

W32/Gaobot.worm.ak

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4298
対応定義ファイル
(現在必要とされるバージョン)
4326 (現在7659)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Agobot.3.h (Kaspersky)
W32.HLLW.Gaobot.AO (Symantec)
WORM_AGOBOT.H (Trend)
情報掲載日 03/10/14
発見日(米国日付) 03/10/09
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Gaobot.worm.akはこれまでに発見された亜種(例えばW32/Gaobot.worm.aa)と同様に、以下の脆弱性を悪用して繁殖します。

●MS03-001 (RPC Locator)
●MS03-026 (Dcom RPC)

・W32/Gaobot.worm.akが実行されると、%SysDir%ディレクトリに以下のファイル名で自身をコピーします。

●SCVHOST.EXE
●LSAS.EXE
(%SysDir%はSystemディレクトリです。例えば、C:\WINNT\SYSTEM32です。)

・以下のレジストリキーを追加して、システムの起動をフックします。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "Config Loader" = SCVHOST.EXE
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices "Config Loader" = SCVHOST.EXE

・これまでの亜種と同様に、MSVCP60.DLLがなければ実行されません。MSVCP60.DLLは標準MS Visual C DLLで、このファイルがシステムに存在しない場合は、ワームは実行されません。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のレジストリキーとファイル名が存在します。

・TCPポート135(MS03-026関連)、およびTCPポート445(MS03-001関連)のトラフィックが増加します。

・NetScheduleJob APIコールを参照して、リモート実行する予定タスクを感染システムに設定します。

・予期せず、以下のリモートのIRCサーバへの送信ネットワークトラフィックが発生します。

●bunghole.mysqld.com

・予期せず、以下のサーバへの送信トラフィックが発生します。

●postmaster.info.aol.com
●mailin-01.mx.aol.com
●mailin-02.mx.aol.com
●mailin-03.mx.aol.com
●mailin-04.mx.aol.com

・以下のプロセスを終了します。


●_AVP32.EXE
●_AVPCC.EXE
●_AVPM.EXE
●ACKWIN32.EXE
●ANTI-TROJAN.EXE
●APVXDWIN.EXE
●AUTODOWN.EXE
●AVCONSOL.EXE
●AVE32.EXE
●AVGCTRL.EXE
●AVKSERV.EXE
●AVNT.EXE
●AVP.EXE
●AVP32.EXE
●AVPCC.EXE
●AVPDOS32.EXE
●AVPM.EXE
●AVPTC32.EXE
●AVPUPD.EXE
●AVSCHED32.EXE
●AVWIN95.EXE
●AVWUPD32.EXE
●BLACKD.EXE
●BLACKICE.EXE
●CFIADMIN.EXE
●CFIAUDIT.EXE
●CFINET.EXE
●CFINET32.EXE
●CLAW95.EXE
●CLAW95CF.EXE
●CLEANER.EXE
●CLEANER3.EXE
●DVP95.EXE
●DVP95_0.EXE
●ECENGINE.EXE
●ESAFE.EXE
●ESPWATCH.EXE
●F-AGNT95.EXE
●FINDVIRU.EXE
●FPROT.EXE
●F-PROT.EXE
●F-PROT95.EXE
●FP-WIN.EXE
●FRW.EXE
●F-STOPW.EXE
●IAMAPP.EXE
●IAMSERV.EXE
●IBMASN.EXE
●IBMAVSP.EXE
●ICLOAD95.EXE
●ICLOADNT.EXE
●ICMON.EXE
●ICSUPP95.EXE
●ICSUPPNT.EXE
●IFACE.EXE
●IOMON98.EXE
●JEDI.EXE
●LOCKDOWN2000.EXE
●LOOKOUT.EXE
●LUALL.EXE
●MOOLIVE.EXE
●MPFTRAY.EXE
●N32SCANW.EXE
●NAVAPW32.EXE
●NAVLU32.EXE
●NAVNT.EXE
●NAVW32.EXE
●NAVWNT.EXE
●NISUM.EXE
●NMAIN.EXE
●NORMIST.EXE
●NUPGRADE.EXE
●NVC95.EXE
●OUTPOST.EXE
●PADMIN.EXE
●PAVCL.EXE
●PAVSCHED.EXE
●PAVW.EXE
●PCCWIN98.EXE
●PCFWALLICON.EXE
●PERSFW.EXE
●RAV7.EXE
●RAV7WIN.EXE
●RESCUE.EXE
●SAFEWEB.EXE
●SCAN32.EXE
●SCAN95.EXE
●SCANPM.EXE
●SCRSCAN.EXE
●SERV95.EXE
●SMC.EXE
●SPHINX.EXE
●SWEEP95.EXE
●TBSCAN.EXE
●TCA.EXE
●TDS2-98.EXE
●TDS2-NT.EXE
●VET95.EXE
●VETTRAY.EXE
●VSCAN40.EXE
●VSECOMR.EXE
●VSHWIN32.EXE
●VSSTAT.EXE
●WEBSCANX.EXE
●WFINDV32.EXE
●ZONEALARM.EXE

TOPへ戻る

感染方法

・W32/Gaobot.worm.akは、アクセス可能なネットワーク共有、またはセキュリティが不十分なネットワーク共有で繁殖します。以下の有名な2つの脆弱性を悪用します。

●MS03-001 (RPC Locator)
●MS03-026 (Dcom RPC)

・以下のデフォルトの管理共有を介して繁殖を試みます。


●print$
●e$
●d$
●c$
●admin$
●ipc$

・W32/Gaobot.worm.akは、よく使われるユーザ名とパスワードのリストを内蔵しています。このリストには、典型的かつ簡単なユーザ名とパスワードの組合せが掲載されています。以下のような連続したキーを含むパスワードは使用しないでください。


●000000
●00000000
●007
●1
●110
●111
●111111
●11111111
●12
●121212
●123
●123123
●1234
●12345
●123456
●1234567
●12345678
●123456789
●1234qwer
●123abc
●123asd
●123qwe
●2002
●2600
●54321
●654321
●88888888
●a
●aaa
●abc
●abcd
●Admin
●admin
●Administrador
●Administrateur
●administrator
●Administrator
●alpha
●asdf
●computer
●database
●Default
●Dell
●enable
●foobar
●Gast
●god
●godblessyou
●Guest
●home
●ihavenopass
●Internet
●Inviter
●Login
●love
●mgmt
●mypass
●mypc
●oracle
●owner
●Owner
●pass
●passwd
●Password
●password
●pat
●patrick
●pc
●pw
●pwd
●qwer
●root
●secret
●server
●sex
●Standard
●super
●sybase
●temp
●test
●Test
●User
●win
●x
●xp
●xxx
●xyz
●yxcv
●zxcv

・ターゲットマシンで実行されるとIRCボットとしても機能し、以下のリモートのIRCサーバでチャネルに参加します。

●bunghole.mysqld.com

・リモートサーバに接続するとコマンドを受け取り、以下のようなさまざまタスクを実行します。
●ボット機能の停止
●システム情報を取得
●ボットのステータスを取得
●ファイルを開く
●(FTTP、またはHTTPで)ファイルをダウンロードして、実行
●サービス拒否攻撃の実行

・以下のゲームソフトウェアのCDキーを詐取します。
●Chrome
●Soldier of Fortune II - Double Helix
●Neverwinter
●Nox
●Tiberian Sun
●Red Alert 2
●Red Alert
●Project IGI 2
●Command & Conquer Generals
●Battlefield 1942 Secret Weapons of WWII
●Battlefield 1942 The Road to Rome
●Battlefield 1942
●Nascar 2003
●Nascar 2002
●Nascar Racing 2002
●NHL 2003
●NHL 2002
●FIFA 2003
●FIFA 2002
●Need For Speed Hot Pursuit 2
●The Gladiators
●UT2003
●LoMaM
●Counter-Strike
●Half-Life CDKey

TOPへ戻る