製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
W32/Polybot.gen!irc
企業ユーザ:
個人ユーザ:
種別インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4333
対応定義ファイル
(現在必要とされるバージョン)
4368 (現在7401)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名Backdoor.Agobot.fd (AVP): Backdoor.Agobot.fe (AVP): Backdoor.Agobot.ff (AVP): BDS/Agobot.241664 (H+BEDV): W32/Dsbot!irc: W32/Polybot.a!irc: W32/Polybot.b!irc: W32/Polybot.c!irc: W32/Polybot.d!irc: W32/Polybot.e!irc: W32/Polybot.f!irc: W32/Polybot.g!irc: W32/Polybot.h!irc: W32/Polybot.i!irc: W32/Polybot.j!irc: W32/Polybot.k!irc: Win32/HLLW.PolySpyBot (RAV)
情報掲載日04/03/11
発見日(米国日付)04/03/01
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Polybot.gen!ircはW32/Gaobot.wormグループをベースにした寄生多様なIRC ボットの亜種です。この情報掲載時点では、W32/Polybot.gen!ircには19の亜種があります(このうち3つは正しく複製できませんでした)。

・W32/Polybotワームは、コンパイルされたワームのHLLプログラムに「envelope」を追加することで、寄生多様性を持ちます。このenvelopeコードは、実行されるたびにファイル全体を再暗号化します。

・広く配布したSdbotソースをベースにした、ほかに非常によく似たIRC ボットの亜種(IRC-Sdbot、W32/Sdbot.worm、W32/Randbot.worm、W32/Gaobot.worm)が複数あります。すべての亜種は急激な速さで繁殖し、1700を超えるさまざまなサンプルがあります。

・最大限の保護のために、以下のことに注意してください。

  • 最新のエンジンおよび定義ファイルを組み合わせて使用します。
  • 圧縮ファイルのスキャンを有効にしていることを確認します。

・以下のW32/Polybotの亜種が発見されました。

 ファイル名  ファイルサイズ  定義ファイルバージョン(〜以降)
 SRVHOST.EXE  221,184  4333
 SRVHOST.EXE  221,649  4333
 SOUNDMAN.EXE  245,760  4336
 SOUNDMAN.EXE  241,664  4336
 CPSDV.EXE  229,376  4336
 SRVHOST.EXE  225,280  4336
 SRVHOST.EXE  241,664  4336
 NAVAPSVC.EXE  249,856  4337
 WINCRT32.EXE  245,760  4337
 SYSPOOL.EXE  249,856  4337
 WINCRT32.EXE  241,664  4337
 WININET.DLL  241,465  4337
 IPCONFIG.EXE  240,453  4337

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・%system%フォルダでファイルが検出されます。

・ポート6667で外部のIRCサーバへの予期せぬトラフィックが発生します。

感染方法TOPへ戻る

・すべてのワームは、最初にシステムで実行されるとき、%system%フォルダに自身をコピーします。

・これらのいくつかのワームは、Exploit-DcomRpcを使用してほかのコンピュータに繁殖させるか、またはオープン共有を介して繁殖を試みます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足