製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
W32/Randin.worm.gen
企業ユーザ:
個人ユーザ:
種別インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4388
対応定義ファイル
(現在必要とされるバージョン)
4388 (現在7544)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2004/10/04
発見日(米国日付)2004/08/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/30FakeAV-M.bfr...
08/30Generic.tfr!...
08/30PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Randin.worm.gen はネットワーク共有を介して繁殖するワームです。このワームは、リモートマシンの ADMIN$, c$, IPC$ に自身をコピーすることにより繁殖します。W32/Randin.worm.gen はポート445のランダムIPアドレスをスキャンし、弱いパスワードを使って共有へ接続しようとします。

・起動時に以下のレジストリが作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "Testing 123" = %path of executed file%

・そしてWINDOWS SYSTEM (%sysDir%) ディレクトリへ、.DATというファイル拡張子で 自身をコピーします。

例:WORM.EXE が C:\Temp 上で実行された場合、C:\winnt\system32\ に WORM.DAT. というファイル名のコピーが作成されます。

・W32/Randin.worm.gen は、ネットワークに接続されているマシンに対して以下のIPサブネットをスキャンします。

  • 216.0.0.0
  • 207.0.0.0
  • 213.0.0.0
  • 205.0.0.0
  • 204.0.0.0
  • 201.0.0.0
  • 193.0.0.0
  • 84.0.0.0
  • 83.0.0.0
  • 82.0.0.0
  • 80.0.0.0
  • 212.0.0.0
  • 209.0.0.0
  • 195.0.0.0
  • 4.0.0.0
  • 12.0.0.0
  • 203.0.0.0
  • 202.0.0.0
  • 69.0.0.0
  • 67.0.0.0
  • 66.0.0.0
  • 64.0.0.0
  • 63.0.0.0
  • 220.0.0.0
  • 219.0.0.0
  • 218.0.0.0
  • 200.0.0.0
  • 24.0.0.0
  • 68.0.0.0
  • 65.0.0.0
  • 81.0.0.0
  • 70.0.0.0

・これらのIPの最初の数字以外は、W32/Randin.worm.genによってそれぞれ0から254の範囲でランダムに決定されます。

・W32/Randin.worm.genは一度システムを発見すると、マシン上のIPC$の共有に接続を試みます。このワームはシステム上の全てのユーザーアカウントをリストアップし、それぞれのアカウントのユーザ名を次々に試してリモートシステムへアクセスしようとします。以下のパスワードがシステム上で発見されたユーザー名と組み合わせて利用されます。

  • oeminstall
  • staff
  • teacher
  • student1
  • student
  • afro
  • turnip
  • glen
  • freddy
  • bill
  • intranet
  • lan
  • nokia
  • ctx
  • headoffice
  • hq
  • main
  • userpassword
  • capitol
  • winpass
  • blank
  • office
  • mass
  • control
  • xp
  • pink
  • yellow
  • siemens
  • compaq
  • dell
  • cisco
  • sa
  • sqlpass
  • sql
  • db1234
  • db1
  • databasepassword
  • data
  • databasepass
  • dbpassword
  • dbpass
  • access
  • database
  • domainpassword
  • domainpass
  • domain
  • orange
  • eaven
  • fish
  • hell
  • god
  • sex
  • fuck
  • exchnge
  • exchange
  • backup
  • technical
  • sage
  • owa
  • loginpass
  • login
  • katie
  • kate
  • bruce
  • george
  • ian
  • neil
  • lee
  • spencer
  • brian
  • frank
  • fred
  • joe
  • joan
  • susan
  • sue
  • mary
  • barbara
  • sam
  • ron
  • luke
  • peter
  • john
  • mike
  • qwe
  • zxc
  • asd
  • qaz
  • win2000
  • winnt
  • winxp
  • win2k
  • win98
  • windows
  • oemuser
  • oem
  • user1
  • user
  • homeuser
  • home
  • accounting
  • accounts
  • internet
  • www
  • web
  • outlook
  • mail
  • qwerty
  • null
  • server
  • system
  • default
  • changeme
  • none
  • guest
  • test
  • 007
  • 121
  • 123467890
  • 12346789
  • 1234678
  • 123467
  • 12346
  • 12345
  • 1234
  • 123
  • 12
  • 1
  • adm
  • admin
  • administrator
  • pass1234
  • password1
  • pwd
  • pass
  • passwd
  • password

・アクセスすることに成功した場合、以下の場所にAIGHTN.EXE として自身をコピーします。

  • C$\windows\system32\
  • C$\Documents and Settings\All Users\Documents\
  • C$\
  • C$\shared\
  • IPC$\
  • C$\winnt\system32\
  • ADMIN$\system32\

・リモートアタッカーがさらにターゲットマシンへの攻撃ができるように、W32/Randin.worm.genによってランダムに選択されたTCPポートが開かれます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルとレジストリキーが削除されています。

感染方法TOPへ戻る

・W32/Randin.worm.genは、デフォルトの管理共有フォルダを介して繁殖します。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足