製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:G
ウイルス情報
ウイルス名危険度
W32/Golten.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4407
対応定義ファイル
(現在必要とされるバージョン)
4407 (現在7401)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名BackDoor-CJV W32.Scard (Symantec) W32/Aler.A.worm (Panda) Worm.Win32.Aler (AVP) WORM_GOLTEN.A (Trend)
情報掲載日2004/11/16
発見日(米国日付)2004/11/12
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Golten.wormは最近大量送信されたMS04-032のセキュリティホールを突いたコードを介してインストールされます。メッセージの内容は以下のとおりです。

・メッセージにはarafat_1.emfという名前のファイルが添付されており、こちらは単なる画像です。しかし、もう1つの添付ファイル、arafat_2.emfは、W32/Golten.wormを脆弱なシステムにインストールする特殊なEMFファイルです。この添付ファイルは現行のウイルス定義ファイルではExploit-MS04-032!gdiとして検出されます。

・W32/Golten.wormはADMIN$共有を介して繁殖し、既存の資格情報を使用してアクセス可能なリモートシステムに接続したり、セキュリティが不十分な管理者パスワードを使用してアクセスしたりします。ウイルス本体に組み込まれているパスワードは以下のとおりです。

  • stgzs
  • security
  • super
  • oracle
  • secret
  • root
  • admin
  • password
  • passwd
  • pass
  • 88888888
  • 888888
  • 00000000
  • 000000
  • 11111111
  • 111111
  • 1111
  • fan@ing*
  • 54321
  • 654321
  • ~!@#
  • !@#$%^
  • !@#$%
  • !@#$
  • 12345!@#$%
  • 1234!@#$
  • 123!@#
  • 12345678
  • 1234567
  • 123456
  • 12345
  • 1234
  • 123
  • 12

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・感染時には、以下のファイルがWindowsのシステムディレクトリ(c:\windows\system32など)に追加されます。

  • Alerter.exe
  • SPO0LSV.EXE
  • sptres.dll
  • spc.exe (BackDoor-CJV.dr)

・BackDoor-CJVドロッパ(spc.exe)により、以下のコンポーネントがインストールされます。

  • comwsock.dll (BackDoor-CJV)
  • dmsock.dll (BackDoor-CJV)
  • inetcfg.h (BackDoor-CJVのデータファイル)
  • mst.tlb (BackDoor-CJVのデータファイル)
  • SCardSer.exe (BackDoor-CJV)

・BackDoor-CJVドロッパにより以下のサービスが作成されます。

  • 名前: netlog
  • イメージのパス: %SystemRoot%\system32\SCardSer.exe
  • 表示名: Net Login Helper

・BackDoorのドアにより、dmsock.dllファイルが以下のいずれかひとつの実行中のプロセスに挿入されます。

  • lsass.exe
  • svchost.exe
  • explorer.exe
  • inetinfo.exe
  • qq.exe
  • msimn.exe
  • iexplore.exe
  • outlook.exe
  • msmsgs.exe
  • msnmsgr.exe

・dmsock.dllはランダムなTCPポート上で受信待機を行います。

感染方法TOPへ戻る

・W32/Golten.wormはアクセス可能なネットワーク共有を介して繁殖します。EXPLORER.EXEのプロセスに挿入されるsptres.dllを含む複数のファイルをドロップ(作成)します。このsptres.dllがW32/Golten.wormのメインコンポーネントになります。

駆除方法TOPへ戻る

Windows ME/XPでの駆除についての補足