|
|
ウイルス情報| ウイルス名 | 危険度 | | W32/Polybot.gen!irc | |
|
| 種別 | インターネットワーム | 最小定義ファイル
(最初に検出を確認したバージョン) | 4333 | 対応定義ファイル
(現在必要とされるバージョン) | 4368 (現在7077) | | 対応エンジン | 4.2.40以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Backdoor.Agobot.fd (AVP): Backdoor.Agobot.fe (AVP): Backdoor.Agobot.ff (AVP): BDS/Agobot.241664 (H+BEDV): W32/Dsbot!irc: W32/Polybot.a!irc: W32/Polybot.b!irc: W32/Polybot.c!irc: W32/Polybot.d!irc: W32/Polybot.e!irc: W32/Polybot.f!irc: W32/Polybot.g!irc: W32/Polybot.h!irc: W32/Polybot.i!irc: W32/Polybot.j!irc: W32/Polybot.k!irc: Win32/HLLW.PolySpyBot (RAV) | | 情報掲載日 | 04/03/11 | | 発見日(米国日付) | 04/03/01 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| ウイルスの特徴 | TOPに戻る | |
・W32/Polybot.gen!ircはW32/Gaobot.wormグループをベースにした寄生多様なIRC ボットの亜種です。この情報掲載時点では、W32/Polybot.gen!ircには19の亜種があります(このうち3つは正しく複製できませんでした)。
・W32/Polybotワームは、コンパイルされたワームのHLLプログラムに「envelope」を追加することで、寄生多様性を持ちます。このenvelopeコードは、実行されるたびにファイル全体を再暗号化します。
・広く配布したSdbotソースをベースにした、ほかに非常によく似たIRC ボットの亜種(IRC-Sdbot、W32/Sdbot.worm、W32/Randbot.worm、W32/Gaobot.worm)が複数あります。すべての亜種は急激な速さで繁殖し、1700を超えるさまざまなサンプルがあります。
・最大限の保護のために、以下のことに注意してください。
- 最新のエンジンおよび定義ファイルを組み合わせて使用します。
- 圧縮ファイルのスキャンを有効にしていることを確認します。
・以下のW32/Polybotの亜種が発見されました。
| ファイル名
|
ファイルサイズ
|
定義ファイルバージョン(〜以降)
|
| SRVHOST.EXE
|
221,184
|
4333
|
| SRVHOST.EXE
|
221,649
|
4333
|
| SOUNDMAN.EXE
|
245,760
|
4336
|
| SOUNDMAN.EXE
|
241,664
|
4336
|
| CPSDV.EXE
|
229,376
|
4336
|
| SRVHOST.EXE
|
225,280
|
4336
|
| SRVHOST.EXE
|
241,664
|
4336
|
| NAVAPSVC.EXE
|
249,856
|
4337
|
| WINCRT32.EXE
|
245,760
|
4337
|
| SYSPOOL.EXE
|
249,856
|
4337
|
| WINCRT32.EXE
|
241,664
|
4337
|
| WININET.DLL
|
241,465
|
4337
|
| IPCONFIG.EXE
|
240,453
|
4337
|
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る | |
・%system%フォルダでファイルが検出されます。
・ポート6667で外部のIRCサーバへの予期せぬトラフィックが発生します。
|
|
| 感染方法 | TOPへ戻る | |
・すべてのワームは、最初にシステムで実行されるとき、%system%フォルダに自身をコピーします。
・これらのいくつかのワームは、Exploit-DcomRpcを使用してほかのコンピュータに繁殖させるか、またはオープン共有を介して繁殖を試みます。
|
|
|
|
|  |
