製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス名危険度
W32/Netspree.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4245
対応定義ファイル
(現在必要とされるバージョン)
4367 (現在7593)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Netspree.Worm (Symantec)
W32/Netspree.bat
W32/Netspree.dll
WORM_NETSPREE.A (Trend)
情報掲載日03/01/29
発見日(米国日付)03/01/27
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/20RDN/Generic....
10/20FakeAV-M.bfr...
10/20FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Netspree.wormは共有ネットワークで繁殖するIRCボットトロイの木馬で、リモートワークステーションのIPC$共有に自身をコピーして繁殖します。IPC$共有は、Windows NT/2000/XPシステムのデフォルトの管理共有ですが、Windows 9Xシステムでは通常存在しません。このワームは、簡単な管理者のユーザ名とパスワードを入力して、この共有へのアクセスを試みます。リモートシステムへのアクセスに成功すると、PSEXECユーティリティを使用してリモートシステム上に自身のコピーを作成し、実行します。

・メインの実行ファイル“WIN32LOAD.EXE”はIRCボットトロイの木馬で、ダウンローダーの機能もあります。WIN32LOAD.EXEファイルが実行されると、WINDOWS SYSTEM(%SysDir%)ディレクトリに自身をコピーし、以下のレジストリ実行キーを作成して起動時に自身のコピーを読み込むようにします。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Windows Subsys" ="C:\WINDOWS\SYSTEM\WIN32LOAD.EXE" rundll32.dll,loadsubsys,loadsys,win32

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "Windows Subsys" = "C:\WINDOWS\SYSTEM\WIN32LOAD.EXE" rundll32.dll,loadsubsys,loadsys,win32

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・WINDOWS SYSTEM(%SysDir%)に以下のファイルが存在します。

●PSEXEC.BAT
●PSEXEC.EXE
●LCP_NETBIOS.DLL
●WIN32LOAD.EXE

感染方法TOPへ戻る

    ・使用可能なインターネット接続を発見すると、PSEXECユーティリティとバッチファイルを内蔵したプラグインファイル“lcp_netbios.dll”をダウンロードします。バッチファイルはリモートシステムへの接続指示とPSEXECコマンドを含んでおり、感染活動に使用されます。

    ・ハードコード化されたIRCチャネルに接続して、感染ユーザのシステム情報(CPU、IP、ホスト名、システムメモリ、使用可能な空きメモリ、OSのバージョン、使用可能時間、システム変数など)をIRCチャネルで公開します。また、ファイルをダウンロード/実行するロケーション、UDP/SYNフラッド攻撃のターゲットなどの指示を聴取します。

    ・レジストリキー“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa "restrictanonymous"=DWORD:0”を追加して、nullセッションで利用できる共有の一覧を入手します。