ウイルス情報

ウイルス名 危険度

W32/Polybot.gen!irc

企業ユーザ: 低
個人ユーザ: 低
種別 インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4333
対応定義ファイル
(現在必要とされるバージョン)
4368 (現在7628)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Agobot.fd (AVP): Backdoor.Agobot.fe (AVP): Backdoor.Agobot.ff (AVP): BDS/Agobot.241664 (H+BEDV): W32/Dsbot!irc: W32/Polybot.a!irc: W32/Polybot.b!irc: W32/Polybot.c!irc: W32/Polybot.d!irc: W32/Polybot.e!irc: W32/Polybot.f!irc: W32/Polybot.g!irc: W32/Polybot.h!irc: W32/Polybot.i!irc: W32/Polybot.j!irc: W32/Polybot.k!irc: Win32/HLLW.PolySpyBot (RAV)
情報掲載日 04/03/11
発見日(米国日付) 04/03/01
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Polybot.gen!ircはW32/Gaobot.wormグループをベースにした寄生多様なIRC ボットの亜種です。この情報掲載時点では、W32/Polybot.gen!ircには19の亜種があります(このうち3つは正しく複製できませんでした)。

・W32/Polybotワームは、コンパイルされたワームのHLLプログラムに「envelope」を追加することで、寄生多様性を持ちます。このenvelopeコードは、実行されるたびにファイル全体を再暗号化します。

・広く配布したSdbotソースをベースにした、ほかに非常によく似たIRC ボットの亜種(IRC-Sdbot、W32/Sdbot.worm、W32/Randbot.worm、W32/Gaobot.worm)が複数あります。すべての亜種は急激な速さで繁殖し、1700を超えるさまざまなサンプルがあります。

・最大限の保護のために、以下のことに注意してください。

  • 最新のエンジンおよび定義ファイルを組み合わせて使用します。
  • 圧縮ファイルのスキャンを有効にしていることを確認します。

・以下のW32/Polybotの亜種が発見されました。

 ファイル名  ファイルサイズ  定義ファイルバージョン(〜以降)
 SRVHOST.EXE  221,184  4333
 SRVHOST.EXE  221,649  4333
 SOUNDMAN.EXE  245,760  4336
 SOUNDMAN.EXE  241,664  4336
 CPSDV.EXE  229,376  4336
 SRVHOST.EXE  225,280  4336
 SRVHOST.EXE  241,664  4336
 NAVAPSVC.EXE  249,856  4337
 WINCRT32.EXE  245,760  4337
 SYSPOOL.EXE  249,856  4337
 WINCRT32.EXE  241,664  4337
 WININET.DLL  241,465  4337
 IPCONFIG.EXE  240,453  4337

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・%system%フォルダでファイルが検出されます。

・ポート6667で外部のIRCサーバへの予期せぬトラフィックが発生します。

TOPへ戻る

感染方法

・すべてのワームは、最初にシステムで実行されるとき、%system%フォルダに自身をコピーします。

・これらのいくつかのワームは、Exploit-DcomRpcを使用してほかのコンピュータに繁殖させるか、またはオープン共有を介して繁殖を試みます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る