製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:G
ウイルス情報
ウイルス名危険度
W32/Gaobot.worm.gen
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4238
対応定義ファイル
(現在必要とされるバージョン)
4360 (現在7565)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.HLLW.Gaobot.AF (NAV): W32.HLLW.Gaobot.AO (NAV): W32.HLLW.Gaobot.AP (NAV): W32.HLLW.Gaobot.BF (NAV): W32.HLLW.Gaobot.FB (NAV): W32/Agobot-AF (Sophos): W32/Gaobot.worm.gen.b: W32/Gaobot.worm.gen.d
情報掲載日04/01/23
発見日(米国日付)02/10/15
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--2004年5月7日更新情報

現在、おおよそ900種以上の亜種が存在します。
最近発見された亜種はMS04-011の脆弱性を利用します。
このLSASS-exploiting Gaobotの最初の亜種は「W32/Gaobot.worm.ali」として検出されました。
今後発見される亜種は一般的に「W32/Gaobot.worm.gen.h」として検出されます。

--2004年1月7日更新情報

・W32/Gaobot.worm.genは急速に増殖し、この情報掲載時点では171種類の亜種があります。定義ファイル4266以降の(2003年5月付け)総称で検出します。最近発見されたワームは以下のとおりです:
 ファイル名 ファイルサイズ  検出に必要な最低DATバージョン
 WINREG.EXE         197,120     4266
 SYSTEM.EXE         199,680     4266
 MSMSGR.EXE        228,572     4266
 WINCRT32.EXE     58,880        4266
 TASKMNGR.EXE  213,504      4266
 SW32.EXE                     68,608  4266
 WINHL32.EXE       56,320        4283
 LSAS.EXE                     66,463  4313
 SYSINFO.EXE      255,488  4313
 SYSLDR32.EXE  245,760       4266
 SYSCHK.EXE        237,568       4266
 WNCRT32.EXE    199,680       4266
 CSVHOST.EXE  207,775      4266
 DOSRUN32.EXE  536,576      4266
 WSYS32.EXE  65,024  4266
 MSDEF.EXE  59,904         4266
 WINDOWZ.EXE  220,672       4266
 REGCLEAN.EXE  226,304       4297
 SYSMGR.EXE  110,592       4266
 CSRRS.EXE  270,973       4266
 CSRRS.EXE  274,432       4266
 SCVHOST.EXE   197,120       4266
 NTDM.EXE  197,120       4266
 LTTIME.EXE   205,824       4298
 WUMP.EXE   205,824         4298
 NTTDM.EXE  215,552       4266
 NTDOM.EXE  214,528       4266
 CSRRS.EXE            58,880         4266
 ...    

・AVERTでは、これらの亜種の総称による検出を常に更新しています。特定の保護機能を設定するには、最新の定義ファイルを使用してください。

--2003年10月28日更新情報

総称による検出

・AVERTでは、W32/Gaobot.worm.genの複数の異なる亜種の報告を受けています。これらの亜種は、W32/Gaobot.worm.gen または W32/Gaobot.worm.gen.bとして総称で検出されます。

・The W32/Gaobot.worm.genは、定義ファイル4266(圧縮ファイルのスキャンを有効にすると)で更新されました。

・W32/Gaobot.worm.gen.bは、定義ファイル4298以降で提供されました。

・これらの亜種は一般的にPE-Packで圧縮されており、ファイル名とサイズはさまざまです。最近の亜種の要旨は以下のとおりです。

・W32/Gaobot.worm.zは、以下の脆弱性を悪用して繁殖します。

  • SCVHOST.EXE (197,120 バイト - UPX で圧縮)
  • CSRRS.EXE (71,680 バイト - UPX で圧縮)
  • WINCRT32.EXE (69,632 バイト - UPX で圧縮)
  • SVCH0ST.EXE (228,572 バイト - UPX で圧縮)
  • DOSRUN32.EXE (209,408 バイト - UPX で圧縮)
  • IEXPLORERE.EXE (204,288 バイト - UPX で圧縮)
  • MSRUN.EXE (207,872 バイト - UPX で圧縮)
  • SCVHOSL.EXE (54,784 バイト - UPX で圧縮)
  • WINCRT6.EXE (228,352 バイト - UPX で圧縮)

・これらの(急速に増殖している)亜種の一般的な概要は以下のとおりです。

・W32/Gaobot.worm.genは、W32/Gaobot.wormの亜種を総称により検出します。最初に定義ファイル4238を発表しましたが、総称による検出は定義ファイル4266に更新されました。

・W32/Gaobot.worm.genには複数の亜種が存在しますので、最高水準の保護を求めるユーザは以下の作業を推奨します。

  • 最新のエンジン/定義ファイルを使用してください。
  • 圧縮ファイルのスキャンを有効にして検出してください。

・最近発見された亜種は、以下の有名な脆弱性を悪用します。

・特定の亜種の概要は以下のとおりです。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・正確な症状は亜種によってさまざまですが、一般的なものは以下のとおりです。

・TCPポート135および445にトラフィックが追加されます。

・NetScheduleJob APIコールを介して、リモート実行する予定タスクを感染システムに設定します。

・予期せず、リモートのIRCサーバへの送信ネットワークトラフィックが発生します。

・予期せず、ボットのダウンロード/アップデートでFTPサーバのトラフィックが発生します。

・「アプリケーションの追加と削除」画面のリストが空白になり、インストールされたプログラムのアイコン/詳細のリストが消えて、「閉じる」ボタンが起動しません。

感染方法TOPへ戻る
・正確な感染方法は亜種によってさまざまですが、一般的なタイプは以下のとおりです。

共有ネットワークによる繁殖

・W32/Gaobot.worm.genは、アクセス可能なネットワーク共有、またはセキュリティが不十分なネットワーク共有で繁殖します。以下の有名な2つの脆弱性を悪用します。

・以下のデフォルトの管理共有を介して繁殖を試みます。

  • PRINT$
  • E$
  • D$
  • C$
  • ADMIN$
  • IPC$

・亜種のいくつかは、簡単なユーザ名とパスワードの組合せのリストを含んでいます。以下のような連続したキーを含むパスワードは使用しないでください。

  • 000000
  • 00000000
  • 110
  • 111
  • 111111
  • 11111111
  • 12
  • 121212
  • 123
  • 123123
  • 1234
  • 12345
  • 123456
  • 1234567
  • 12345678
  • 123456789
  • 1234qwer
  • 123abc
  • 123asd
  • 123qwe
  • a
  • aaa
  • abc
  • abcd
  • Admin
  • admin
  • Administrador
  • Administrateur
  • administrator
  • Administrator
  • asdf
  • owner
  • Owner
  • pass
  • passwd
  • Password
  • password
  • pw
  • pwd
  • qwer
  • root
  • secret
  • server
  • temp
  • test
  • Test
  • xyz
  • yxcv
  • zxcv

IRC接続

・亜種のいくつかは、リモートのIRCサーバに接続して、特定のIRCチャネルに参加しようとします。接続すると、ボットとして機能し、ハッカーからのリモートコマンドを待ちます。亜種によって機能はさまざまですが、一般的には、他のリモートファイルをダウンロードして実行しようとします。

プロセスの終了

・亜種のいくつかは、さまざまなウイルス対策/セキュリティソフトウェア関連プロセスを終了します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足