ウイルス情報

ウイルス名 危険度

W32/Randon.worm.p

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4292
対応定義ファイル
(現在必要とされるバージョン)
4322 (現在7659)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/09/10
発見日(米国日付) 03/09/05
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Randon.worm.pには複数の亜種が存在するので、この情報は一般的なガイドとしてお読みください。W32/Randon.worm.pはトロイの木馬で、ドロッパファイルを作成、またはトロイの木馬を使用するハッカーが具体的な活動を決定します。

・W32/Randon.worm.pはIRC(Internet Relay Chat)ボット/DDoS(分散型サービス拒否)ツールで、自己解凍アーカイブによって落とし込まれます。通常、このアーカイブはmIRCクライアントのコピーを内蔵しているので、ユーザのシステムにmIRCがインストールされていなくてもDDoS攻撃を実行できます。

・W32/Randon.worm.pは複数のファイルで構成されるIRCボット/DDoSパッケージで、自己解凍アーカイブによって落とし込まれます。通常、このアーカイブはmIRCクライアントのコピーを内蔵しているので、ユーザのシステムにmIRCがインストールされていなくてもDDoS攻撃を実行できます。このアーカイブはリモートに格納されているので(ダウンローダコンポーネントによってダウンロードされます)、ファイル名とサイズは異なる可能性があります。AVERTの受けた報告では、CO15_1~1.EXE、またはCOTH.EXE(664,879バイト)というファイル名でした。

・ターゲットマシンでSFXアーカイブが実行されると、インストールディレクトリに多数のファイルを落とし込みます。ディレクトリ名、およびファイル名も異なる可能性がありますが、これまでに判明したパッケージの詳細は以下のとおりです。

インストールディレクトリ:

  • %SysDir%\dirctpc\

上記のディレクトリに落とし込まれるファイル:

  • e15.exe:ダウンローダコンポーネント。Downloader-AEとして検出
  • Dx32.sys:mIRC設定ファイル
  • exit.exe:PrcViewアプリケーション
  • psexec.exe:RemoteProcessLaunchアプリケーション
  • read.sys:IRCスクリプトファイル
  • spread.bat:リモートログオンとファイルを起動するバッチファイル
  • secure.bat:開いている共有を削除するバッチファイル
  • secure.exe:HideWindowアプリケーション
  • system.sys:IRCスクリプトファイル
  • shell32.exe:UPXで圧縮されたmIRCクライアント
  • winnt.sys:中身のないファイル(0バイト)

注:上記のアプリケーションタイプを検出するには、コマンドラインスキャナ(「/PROGRAMスイッチ」を使用する)、または VirusScan 7(「有害の可能性のあるアプリケーションの検出」を有効にする)を使用してください。詳細については、使用するアプリケーションのそれぞれの検出に関する説明をご覧ください。

・以下のレジストリキーを追加して、システムの起動時にmIRCクライアントを実行します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "windows" = %SysDir%\dirctpc\windows.exe

・SPREAD.BATバッチファイルは、以下のユーザ名とパスワードの組合せを使用します(ユーザ名、パスワード)。

  • Administrator
  • Administrator, xxyyzz
  • admin, abc
  • student, student
  • teacher, teacher
  • user, "" (ブランク)
  • user, user
  • test, test
  • Administrator, test123
  • Administrator, 1
  • Administrator, 123
  • admin, 12345
  • Administrator, temp
  • Administrator, "" (ブランク)
  • Administrator, Administrator
  • Administrator, test
  • Administrator, admin
  • Administrator, pass
  • Administrator, password
  • root, root
  • Administrator, changeme
  • admin, admin
  • Administrator, 123456
  • Administrator, 654321
  • Administrator, abc123
  • Administrator, 12345
  • Administrator, red123
  • Administrator, admin123
  • Administrator, qwerty
  • Administrator, asdf
  • Administrator, password123
  • Administrator, secret
  • Administrator, qwertyuiop
  • Administrator, 12345
  • Administrator, 54321

・感染したマシンを慎重に調べてください。ダウンロードされたドロッパファイルは、新しいファイルで再パッケージ化されることもあるので、攻撃者が他のハッキングツールやバックドアウイルスをインストールした可能性があります。

・mIRCがシステムにインストールされている場合は、インストールされているmIRCを指すレジストリエントリを、W32/Randon.worm.pが落とし込んだバージョンにリダイレクトします。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとレジストリキーが存在します。

・予期しない、リモートサーバへの送信トラフィックが存在します(宛先ポート番号:6667、IRC)。

・ポート445のトラフィックが増加します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。 また、不十分なセキュリティ(開いている共有で単純なユーザ名とパスワードの組合せを使用、ファイアウォール保護が未設定、または誤って設定)、またはパッチが適用されていない脆弱なシステムが原因で送信されることもあります。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る