ウイルス情報

ウイルス名 危険度

W32/Netspree.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4245
対応定義ファイル
(現在必要とされるバージョン)
4367 (現在7659)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Netspree.Worm (Symantec)
W32/Netspree.bat
W32/Netspree.dll
WORM_NETSPREE.A (Trend)
情報掲載日 03/01/29
発見日(米国日付) 03/01/27
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Netspree.wormは共有ネットワークで繁殖するIRCボットトロイの木馬で、リモートワークステーションのIPC$共有に自身をコピーして繁殖します。IPC$共有は、Windows NT/2000/XPシステムのデフォルトの管理共有ですが、Windows 9Xシステムでは通常存在しません。このワームは、簡単な管理者のユーザ名とパスワードを入力して、この共有へのアクセスを試みます。リモートシステムへのアクセスに成功すると、PSEXECユーティリティを使用してリモートシステム上に自身のコピーを作成し、実行します。

・メインの実行ファイル“WIN32LOAD.EXE”はIRCボットトロイの木馬で、ダウンローダーの機能もあります。WIN32LOAD.EXEファイルが実行されると、WINDOWS SYSTEM(%SysDir%)ディレクトリに自身をコピーし、以下のレジストリ実行キーを作成して起動時に自身のコピーを読み込むようにします。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Windows Subsys" ="C:\WINDOWS\SYSTEM\WIN32LOAD.EXE" rundll32.dll,loadsubsys,loadsys,win32

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "Windows Subsys" = "C:\WINDOWS\SYSTEM\WIN32LOAD.EXE" rundll32.dll,loadsubsys,loadsys,win32

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・WINDOWS SYSTEM(%SysDir%)に以下のファイルが存在します。

●PSEXEC.BAT
●PSEXEC.EXE
●LCP_NETBIOS.DLL
●WIN32LOAD.EXE

TOPへ戻る

感染方法

    ・使用可能なインターネット接続を発見すると、PSEXECユーティリティとバッチファイルを内蔵したプラグインファイル“lcp_netbios.dll”をダウンロードします。バッチファイルはリモートシステムへの接続指示とPSEXECコマンドを含んでおり、感染活動に使用されます。

    ・ハードコード化されたIRCチャネルに接続して、感染ユーザのシステム情報(CPU、IP、ホスト名、システムメモリ、使用可能な空きメモリ、OSのバージョン、使用可能時間、システム変数など)をIRCチャネルで公開します。また、ファイルをダウンロード/実行するロケーション、UDP/SYNフラッド攻撃のターゲットなどの指示を聴取します。

    ・レジストリキー“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa "restrictanonymous"=DWORD:0”を追加して、nullセッションで利用できる共有の一覧を入手します。

    TOPへ戻る