|
|
ウイルス情報| ウイルス名 | 危険度 | | W32/Gaobot.worm.gen | |
|
| 種別 | ウイルス | 最小定義ファイル
(最初に検出を確認したバージョン) | 4238 | 対応定義ファイル
(現在必要とされるバージョン) | 4360 (現在7077) | | 対応エンジン | 4.1.60以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | W32.HLLW.Gaobot.AF (NAV): W32.HLLW.Gaobot.AO (NAV): W32.HLLW.Gaobot.AP (NAV): W32.HLLW.Gaobot.BF (NAV): W32.HLLW.Gaobot.FB (NAV): W32/Agobot-AF (Sophos): W32/Gaobot.worm.gen.b: W32/Gaobot.worm.gen.d | | 情報掲載日 | 04/01/23 | | 発見日(米国日付) | 02/10/15 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| ウイルスの特徴 | TOPに戻る | |
--2004年5月7日更新情報
現在、おおよそ900種以上の亜種が存在します。
最近発見された亜種はMS04-011の脆弱性を利用します。
このLSASS-exploiting Gaobotの最初の亜種は「W32/Gaobot.worm.ali」として検出されました。
今後発見される亜種は一般的に「W32/Gaobot.worm.gen.h」として検出されます。
--2004年1月7日更新情報
・W32/Gaobot.worm.genは急速に増殖し、この情報掲載時点では171種類の亜種があります。定義ファイル4266以降の(2003年5月付け)総称で検出します。最近発見されたワームは以下のとおりです:
| ファイル名 | ファイルサイズ |
検出に必要な最低DATバージョン |
| WINREG.EXE |
197,120 |
4266 |
| SYSTEM.EXE |
199,680 |
4266 |
| MSMSGR.EXE |
228,572 |
4266 |
| WINCRT32.EXE |
58,880 |
4266 |
| TASKMNGR.EXE |
213,504 |
4266 |
| SW32.EXE |
68,608 |
4266 |
| WINHL32.EXE |
56,320 |
4283 |
| LSAS.EXE |
66,463 |
4313 |
| SYSINFO.EXE |
255,488 |
4313 |
| SYSLDR32.EXE |
245,760 |
4266 |
| SYSCHK.EXE |
237,568 |
4266 |
| WNCRT32.EXE |
199,680 |
4266 |
| CSVHOST.EXE |
207,775 |
4266 |
| DOSRUN32.EXE |
536,576 |
4266 |
| WSYS32.EXE |
65,024 |
4266 |
| MSDEF.EXE |
59,904 |
4266 |
| WINDOWZ.EXE |
220,672 |
4266 |
| REGCLEAN.EXE |
226,304 |
4297 |
| SYSMGR.EXE |
110,592 |
4266 |
| CSRRS.EXE |
270,973 |
4266 |
| CSRRS.EXE |
274,432 |
4266 |
| SCVHOST.EXE |
197,120 |
4266 |
| NTDM.EXE |
197,120 |
4266 |
| LTTIME.EXE |
205,824 |
4298 |
| WUMP.EXE |
205,824 |
4298 |
| NTTDM.EXE |
215,552 |
4266 |
| NTDOM.EXE |
214,528 |
4266 |
| CSRRS.EXE |
58,880 |
4266 |
| ... |
|
|
・AVERTでは、これらの亜種の総称による検出を常に更新しています。特定の保護機能を設定するには、最新の定義ファイルを使用してください。
--2003年10月28日更新情報
総称による検出
・AVERTでは、W32/Gaobot.worm.genの複数の異なる亜種の報告を受けています。これらの亜種は、W32/Gaobot.worm.gen または W32/Gaobot.worm.gen.bとして総称で検出されます。
・The W32/Gaobot.worm.genは、定義ファイル4266(圧縮ファイルのスキャンを有効にすると)で更新されました。
・W32/Gaobot.worm.gen.bは、定義ファイル4298以降で提供されました。
・これらの亜種は一般的にPE-Packで圧縮されており、ファイル名とサイズはさまざまです。最近の亜種の要旨は以下のとおりです。
・W32/Gaobot.worm.zは、以下の脆弱性を悪用して繁殖します。
- SCVHOST.EXE (197,120 バイト - UPX で圧縮)
- CSRRS.EXE (71,680 バイト - UPX で圧縮)
- WINCRT32.EXE (69,632 バイト - UPX で圧縮)
- SVCH0ST.EXE (228,572 バイト - UPX で圧縮)
- DOSRUN32.EXE (209,408 バイト - UPX で圧縮)
- IEXPLORERE.EXE (204,288 バイト - UPX で圧縮)
- MSRUN.EXE (207,872 バイト - UPX で圧縮)
- SCVHOSL.EXE (54,784 バイト - UPX で圧縮)
- WINCRT6.EXE (228,352 バイト - UPX で圧縮)
・これらの(急速に増殖している)亜種の一般的な概要は以下のとおりです。
・W32/Gaobot.worm.genは、W32/Gaobot.wormの亜種を総称により検出します。最初に定義ファイル4238を発表しましたが、総称による検出は定義ファイル4266に更新されました。
・W32/Gaobot.worm.genには複数の亜種が存在しますので、最高水準の保護を求めるユーザは以下の作業を推奨します。
- 最新のエンジン/定義ファイルを使用してください。
- 圧縮ファイルのスキャンを有効にして検出してください。
・最近発見された亜種は、以下の有名な脆弱性を悪用します。
・特定の亜種の概要は以下のとおりです。
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る | |
・正確な症状は亜種によってさまざまですが、一般的なものは以下のとおりです。
・TCPポート135および445にトラフィックが追加されます。
・NetScheduleJob APIコールを介して、リモート実行する予定タスクを感染システムに設定します。
・予期せず、リモートのIRCサーバへの送信ネットワークトラフィックが発生します。
・予期せず、ボットのダウンロード/アップデートでFTPサーバのトラフィックが発生します。
・「アプリケーションの追加と削除」画面のリストが空白になり、インストールされたプログラムのアイコン/詳細のリストが消えて、「閉じる」ボタンが起動しません。
|
|
| 感染方法 | TOPへ戻る | |
・正確な感染方法は亜種によってさまざまですが、一般的なタイプは以下のとおりです。
共有ネットワークによる繁殖
・W32/Gaobot.worm.genは、アクセス可能なネットワーク共有、またはセキュリティが不十分なネットワーク共有で繁殖します。以下の有名な2つの脆弱性を悪用します。
・以下のデフォルトの管理共有を介して繁殖を試みます。
- PRINT$
- E$
- D$
- C$
- ADMIN$
- IPC$
・亜種のいくつかは、簡単なユーザ名とパスワードの組合せのリストを含んでいます。以下のような連続したキーを含むパスワードは使用しないでください。
- 000000
- 00000000
- 110
- 111
- 111111
- 11111111
- 12
- 121212
- 123
- 123123
- 1234
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 1234qwer
- 123abc
- 123asd
- 123qwe
- a
- aaa
- abc
- abcd
- Admin
- admin
- Administrador
- Administrateur
- administrator
- Administrator
- asdf
- owner
- Owner
- pass
- passwd
- Password
- password
- pw
- pwd
- qwer
- root
- secret
- server
- temp
- test
- Test
- xyz
- yxcv
- zxcv
IRC接続
・亜種のいくつかは、リモートのIRCサーバに接続して、特定のIRCチャネルに参加しようとします。接続すると、ボットとして機能し、ハッカーからのリモートコマンドを待ちます。亜種によって機能はさまざまですが、一般的には、他のリモートファイルをダウンロードして実行しようとします。
プロセスの終了
・亜種のいくつかは、さまざまなウイルス対策/セキュリティソフトウェア関連プロセスを終了します。
|
|
|
|
|  |
