製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
W32/Randbot.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4273
対応定義ファイル
(現在必要とされるバージョン)
4363 (現在7515)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名Gesfm:Piebot:W32.Randex.C (NAV):W32/Randex.worm.c
情報掲載日03/11/14
発見日(米国日付)03/06/18
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/29RDN/Download...
07/29RDN/Download...
07/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7515
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

2003年8月14日更新情報

・AVERTは、W32/Randbot.wormの新しい亜種の報告を受けました。この新しい亜種は、定義ファイル4273以降でW32/Randex.worm.c(個別のワーム名ではなく、ワームの総称です)として検出されます。

・この新しい亜種は下記の亜種に非常によく似ており、IRC-Sdbotをベースに作成されています。主な相違点は以下のとおりです。

  • ファイルサイズ:60,416バイト
  • インストールファイル名: PH32.EXE(インストールディレクトリは、下記のディレクトリと同じ)
  • ネットワーク繁殖のファイル名:NETFD32.EXE(ターゲットのリモートディレクトリは、下記のディレクトリと同じ)
  • Mutexオブジェクト:PIEBOT-FE
  • レジストリキーのフック
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
      Run "Winux Piriax Service" = PH32.EXE
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
      RunServices "Winux Piriax Service" = PH32.EXE
  • ネットワーク繁殖で、使用するパスワードの種類が少ない。
    • 12345
    • pass
    • password

・W32/Randbot.wormには複数の亜種があり、既存のIRCトロイの木馬IRC-Sdbotをベースに作成されています。

インストール

・W32/Randbot.wormがターゲットマシンで実行されると、Windows SystemフォルダにGESFM32.EXEというファイル名で自身をインストールします。

例:
C:\WINNT\SYSTEM32\GESFM32.EXE(40,960バイト)

・monk.10という名前のMutexオブジェクトを作成します。

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Microsoft Netview" = GESFM32.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServices "Microsoft Netview" = GESFM32.EXE

・リモートのIRCサーバ(IPアドレスは、ワームに内蔵)に接続し、IRCチャネルに接続して以下のようなコマンドを待ちます。

  • update
  • clone
  • download
  • ntscan/ntstop:感染するリモートマシンのスキャンを開始
  • syn:SYNフラッド攻撃を仕掛ける(TCP SYNパケットを送信、ウインドウサイズの設定は55,808バイト)
  • sysinfo:システム情報(CPU、ダイアルアップ、OSなど)の検索

ネットワーク繁殖

・(IRCを介して)適切なコマンドを受信すると、簡単なパスワードを使用するリモートマシンを悪用してアクセスを試みます。ランダムに作成されたIPアドレスのリモートマシンをターゲットにします。

・以下のパスワードを使用して、リモートマシンにアクセスします。

  • server
  • !@#$%^&*
  • !@#$%^&
  • !@#$%^
  • !@#$%
  • asdfgh
  • asdf
  • !@#$
  • 654321
  • 123456
  • 1234
  • 123
  • 111
  • 1
  • root
  • admin

・アクセスに成功すると、リモートマシンの以下のロケーションにMSMONK32.EXEというファイル名でワームをコピーします。

  • \C$\WINNT\SYSTEM32\MSMONK32.EXE
  • \ADMIN$\SYSTEM32\MSMONK32.EXE

・ワームを実行するために、リモートマシンにジョブをスケジュールします(ターゲットマシンで実行するスケジュールサービスを利用します)。

注:Windows 9x/MEマシンは、このジョブのスケジュール機能をサポートしていません。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルとレジストリキーが存在します。

・ターゲットマシンとリモートのIRCサーバ間で、予期しないネットワークトラフィックが発生します。

感染方法TOPへ戻る

・ネットワーク共有のセキュリティが不十分なマシンは、Windows Systemシステムディレクトリにコピーされたワームを介して感染する可能性があります。亜種によって異なるファイル名を使用します。

例:

  • MSMONK32.EXE
  • NETFD32.EXE

・感染すると、W32/Randbot.wormはスケジュールされたジョブで実行されます。次に、マシンに自身をインストールして、リモートのIRCサーバに接続してコマンドを待ちます。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足