製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
W32/Randon.worm.p
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4292
対応定義ファイル
(現在必要とされるバージョン)		4322 (現在7077)
対応エンジン4.1.60以降 (現在5.4.00) 
エンジンバージョンの見分け方
情報掲載日03/09/10
発見日(米国日付)03/09/05
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/15ZeroAccess!5...
05/15VBS/LoveLett...
05/15RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7077
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Randon.worm.pには複数の亜種が存在するので、この情報は一般的なガイドとしてお読みください。W32/Randon.worm.pはトロイの木馬で、ドロッパファイルを作成、またはトロイの木馬を使用するハッカーが具体的な活動を決定します。

・W32/Randon.worm.pはIRC(Internet Relay Chat)ボット/DDoS(分散型サービス拒否)ツールで、自己解凍アーカイブによって落とし込まれます。通常、このアーカイブはmIRCクライアントのコピーを内蔵しているので、ユーザのシステムにmIRCがインストールされていなくてもDDoS攻撃を実行できます。

・W32/Randon.worm.pは複数のファイルで構成されるIRCボット/DDoSパッケージで、自己解凍アーカイブによって落とし込まれます。通常、このアーカイブはmIRCクライアントのコピーを内蔵しているので、ユーザのシステムにmIRCがインストールされていなくてもDDoS攻撃を実行できます。このアーカイブはリモートに格納されているので(ダウンローダコンポーネントによってダウンロードされます)、ファイル名とサイズは異なる可能性があります。AVERTの受けた報告では、CO15_1~1.EXE、またはCOTH.EXE(664,879バイト)というファイル名でした。

・ターゲットマシンでSFXアーカイブが実行されると、インストールディレクトリに多数のファイルを落とし込みます。ディレクトリ名、およびファイル名も異なる可能性がありますが、これまでに判明したパッケージの詳細は以下のとおりです。

インストールディレクトリ:

  • %SysDir%\dirctpc\

上記のディレクトリに落とし込まれるファイル:

  • e15.exe:ダウンローダコンポーネント。Downloader-AEとして検出
  • Dx32.sys:mIRC設定ファイル
  • exit.exe:PrcViewアプリケーション
  • psexec.exe:RemoteProcessLaunchアプリケーション
  • read.sys:IRCスクリプトファイル
  • spread.bat:リモートログオンとファイルを起動するバッチファイル
  • secure.bat:開いている共有を削除するバッチファイル
  • secure.exe:HideWindowアプリケーション
  • system.sys:IRCスクリプトファイル
  • shell32.exe:UPXで圧縮されたmIRCクライアント
  • winnt.sys:中身のないファイル(0バイト)

注:上記のアプリケーションタイプを検出するには、コマンドラインスキャナ(「/PROGRAMスイッチ」を使用する)、または VirusScan 7(「有害の可能性のあるアプリケーションの検出」を有効にする)を使用してください。詳細については、使用するアプリケーションのそれぞれの検出に関する説明をご覧ください。

・以下のレジストリキーを追加して、システムの起動時にmIRCクライアントを実行します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "windows" = %SysDir%\dirctpc\windows.exe

・SPREAD.BATバッチファイルは、以下のユーザ名とパスワードの組合せを使用します(ユーザ名、パスワード)。

  • Administrator
  • Administrator, xxyyzz
  • admin, abc
  • student, student
  • teacher, teacher
  • user, "" (ブランク)
  • user, user
  • test, test
  • Administrator, test123
  • Administrator, 1
  • Administrator, 123
  • admin, 12345
  • Administrator, temp
  • Administrator, "" (ブランク)
  • Administrator, Administrator
  • Administrator, test
  • Administrator, admin
  • Administrator, pass
  • Administrator, password
  • root, root
  • Administrator, changeme
  • admin, admin
  • Administrator, 123456
  • Administrator, 654321
  • Administrator, abc123
  • Administrator, 12345
  • Administrator, red123
  • Administrator, admin123
  • Administrator, qwerty
  • Administrator, asdf
  • Administrator, password123
  • Administrator, secret
  • Administrator, qwertyuiop
  • Administrator, 12345
  • Administrator, 54321

・感染したマシンを慎重に調べてください。ダウンロードされたドロッパファイルは、新しいファイルで再パッケージ化されることもあるので、攻撃者が他のハッキングツールやバックドアウイルスをインストールした可能性があります。

・mIRCがシステムにインストールされている場合は、インストールされているmIRCを指すレジストリエントリを、W32/Randon.worm.pが落とし込んだバージョンにリダイレクトします。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルとレジストリキーが存在します。

・予期しない、リモートサーバへの送信トラフィックが存在します(宛先ポート番号:6667、IRC)。

・ポート445のトラフィックが増加します。

感染方法TOPへ戻る
・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。 また、不十分なセキュリティ(開いている共有で単純なユーザ名とパスワードの組合せを使用、ファイアウォール保護が未設定、または誤って設定)、またはパッチが適用されていない脆弱なシステムが原因で送信されることもあります。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足