製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:I
ウイルス情報
ウイルス名危険度
W32/IRCbot.worm!MS05-039
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4560
対応定義ファイル
(現在必要とされるバージョン)		4591 (現在6092)
対応エンジン4.4.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名CME-540
W32.Zotob.E (Symantec) W32/Tpbot-A (Sophos) WORM_RBOT.CBQ (Trend)
情報掲載日2005/08/22
発見日(米国日付)2005/08/16
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/31WinCE/Cyppy.C
08/31WinCE/Cyppy.B
08/29Generic.dx!tor
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:6092
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
2005年8月19日更新情報

・W32/IRCbot.worm!MS05-039 の流行が減少してきているので、危険度を「低[要注意]」に下げました。

2005年8月17日更新情報

・新たな感染情報が減少してきているので、W32/IRCbot.worm!MS05-039 の危険度を「中」に下げました。

・W32/IRCbot.worm!MS05-039は、インターネット・リレー・チャット(IRC)ボット型ワームで、MSの脆弱点(MS05-039)のパッチが適用されていないシステムを利用し、広がるものです。

・このワームはリモートのIRCサーバーに接続するもので、そこから指示を待つものです。

・W32/IRCbot.worm!MS05-039への感染の疑いがあるが、チェック方法がわからない場合は、Stingerをダウンロードして、システムをスキャンし、ウイルスを駆除してください。なお、McAfee製品の最新の定義ファイルはW32/IRCbot.worm!MS05-039を検出、駆除できるため、McAfeeユーザにはこの作業は不要です。(詳細については、下記の駆除方法を参照してください。)

注:ユーザの電子メールアドレスで送信されたメールがウイルスに感染しているとする警告メッセージを受信する場合がありますが、ウイルスは差出人のアドレスを偽装することが多いため、実際に感染している訳ではありません。

インストール

・ファイルが実行されると、W32/IRCbot.worm!MS05-039はウインドウズのシステムディレクトリ(e.g. C:\Windows\System32\ on Windows XP)に、WINTBP.EXEとして、自身をコピーします。W32/IRCbot.worm!MS05-039は、MSの脆弱点(MS05-039)を利用するか、ファイルを実行してしまった場合に、自動的に実行されます。

・W32/IRCbot.worm!MS05-039をロードするために、スタートアップに以下のレジストリキーが作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "wintbp.exe" = wintbp.exe

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・MS05-039が適用されていないシステムでW32/IRCbot.worm!MS05-039が実行されると、リブートを繰り返します。

感染方法TOPへ戻る

・W32/IRCbot.worm!MS05-039は、MS05-039の脆弱点を利用可能なシステムをスキャンします。MS05-039の脆弱点があるシステムを発見すると、W32/IRCbot.worm!MS05-039を書き込むためにバッファーオーバーフローを利用します。

駆除方法TOPへ戻る

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

McAfee Intrushield
・2005年8月9日にリリースされたシグネチャセットでは以下のように検出されます。
 DCERPC: Microsoft Plug and Play Service Buffer Overflow (0x47602000)

Stinger
・W32/IRCbot.worm!MS05-039を検出するために、Stingerがアップデートされています。

McAfee Managed VirusScan
・バッファオーバーフロープロテクションは、ワームによる脆弱なシステムの悪用をブロックします。

McAfee Entercept
・McAfee Enterceptは、Level 1 の防御の設定で、脆弱なシステムの悪用を防ぎます。

McAfee VirusScan Enterprise 8.0i
・"バッファオーバーフロー保護"は、脆弱なシステムへのワームの進入を防御します。
さらに、バッファーオーバーフローは、パッチが適用されていないシステム上でも発生する可能性がありますが、VirusScan Enterpriseを実行しているシステム上で、"System32フォルダでの新規ファイル(.exe)の作成を禁止する"というアクセス防御ルールを"アクセスをブロックする" に設定することで、感染を防ぐことができます。

・望ましくないプログラムポリシーにおけるユーザー定義型の探知機能は、下記のようにwintbp.exeの検知を追加することで、ワームの複製を防ぐために使用することが可能です。