製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
RDN/Spybot.worm!g
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
7256
対応定義ファイル
(現在必要とされるバージョン)
7264 (現在7509)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Comodo - TrojWare.Win32.Buzus.DAN Fortinet - W32/Buzus.GW!tr Microsoft - VirTool:Win32/DelfInject.gen!BI Symantec - Trojan.ADH Trend - WORM_IRCBOT.SDY
情報掲載日2013/11/21
発見日(米国日付)2013/06/27
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/23RDN/Generic....
07/23RDN/Generic....
07/23FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7509
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・RDN/Spybot.worm!gはアクセス可能なディスクボリュームのルートに自身をコピーするワームです。さらに、ボリュームのルートにAutorun.infファイルを作成し、次にボリュームがマウントされたときに実行されるようにします。

ウイルスの特徴TOPに戻る

「RDN/Spybot.worm!g」は感染したマシンへの不正アクセス、制御を可能にするワームです。リモート攻撃者から命令を受け取るため、リモートサーバに接続します。また、システム情報を盗み出し、リモート攻撃者に送信する可能性があります。

・また、「RDN/Spybot.worm!g」は、乗っ取ったマシンにバックドアからアクセスできるようにするため、ファイアウォールルールを作成します。

「RDN/Spybot.worm!g」はリムーバブルメディアを介して拡散するワームです。

・実行時、リモートポート7562を介して以下のIPアドレスに接続しようとします。

  • bb121-6-244-86.si[削除]et.com.sg:7562
  • pccw.h[削除].org
  • 86. [削除].6.121
  • 250. [削除].255.239

・以下は一般的なIRCトラフィックのBOTコマンドです。

  • c_repeat
  • c_part
  • c^qseh
  • c_join
  • c_nick
  • MODE %s
  • c_mode
  • c_raw
  • repeat
  • MODE %s
  • cxaoa
  • ACTION %s
  • NICK %s
  • c_rndnick
  • QUIT :Client exiting
  • PING %s
  • PING
  • VERSION %s
  • VERSION

・実行時、以下の場所に自身をコピーします。

  • %systemdrive%\WINDOWS\system32\drivers\tcpip.sys
  • %systemdrive%\Program Files\Common Files\AdobeARM.exe
  • [リムーバブルドライブ]: \RECYCLER
  • [リムーバブルドライブ]: \RECYCLER\S-1-5-21[不定]
  • [リムーバブルドライブ]: \RECYCLER\S-1-5-21[不定]\Desktop.ini
  • [リムーバブルドライブ]: \RECYCLER\S-1-5-21[不定]\autorunme.scr
  • [リムーバブルドライブ]: \autorun.inf

・また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。

・「AutoRun.inf」ファイルはRDN/Spybot.worm!gの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、RDN/Spybot.worm!gが自動的に起動されます。

・autorun.infは以下のコマンド構文でRDN/Spybot.worm!gのファイルを起動するように設定されています。

[autorun]

645FF040-5081-101B-9F08-00AA002F954E

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

. . .

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

USEAUTOPLAY=1

open=RECYCLER\S-1-5-21[不定]\autorunme.scr

S-1-5-21[不定]

S-1-5-21[不定]

action=Open folder to view files

S-1-5-21[不定]

shell\open=Open

shell\open\command=RECYCLER\S-1-5-21[不定]\autorunme.scr

shell\open\default=1

S-1-5-21[不定]

S-1-5-21[不定]

・以下のレジストリキー値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\patches: "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe ARMS: "%systemdrive%\Program Files\Common Files\AdobeARM.exe"

・上記のレジストリキー値により、RDN/Spybot.worm!gが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Common Files\AdobeARM.exe: "%systemdrive%\Program Files\Common Files\AdobeARM.exe:*:Enabled:Adobe ARMS"

・上記のレジストリキー値により、RDN/Spybot.worm!gが通常の認証を回避するファイアウォールルールを作成します。また、リモート攻撃者がユーザに気づかれずに乗っ取ったシステムを制御するコマンドを発行できる可能性があります。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpNumConnections: 0x00FFFFFE

・上記のレジストリキー値により、TCPが同時に開くことができる接続の最大数を制限するTCPパラメータを改変します。

  • HKey_Users\S-1-5-21-4[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions: 0x00000001
  • HKey_Users\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun: 0x00000001

・上記のレジストリキー値により、フォルダオプションの項目をすべてのWindowsエクスプローラのメニューおよびコントロールパネルから削除します。

・以下はシステムで改変されるレジストリキー値です。

  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000001
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000002
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden: 0x00000001
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden: 0x00000000
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000001
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000

・上記のレジストリキー値により、自身がユーザに見えないようにします。

・実行時、リモートマシンの管理者アカウントに接続しようとします。以下のパスワードを使って、総当たり攻撃を仕掛けます。

  • zxcv
  • zxc
  • zulu
  • zombie
  • zmodem
  • zimmerman
  • zimmerma
  • ziggy
  • zeitgeis
  • zebra
  • zap
  • yxcv
  • youwontguessme
  • young
  • yosemite
  • yolanda
  • yellowstone
  • yellowst
  • yellow
  • yankee
  • yang
  • yaco
  • xyzzy
  • xyz
  • xxxxxxxxx
  • xxxxxxxx
  • xxxxxxx
  • xxxxxx
  • xxxxx
  • xxxx
  • xxx
  • xray
  • xmodem
  • xmen
  • xman
  • xfer
  • xena
  • wyoming
  • wwwadmin
  • www
  • wwii
  • WRITE
  • wormwood
  • worm
  • work
  • worf
  • wordperf
  • word
  • woodwind
  • wood
  • women
  • wombat
  • woman
  • wolverin
  • wolf
  • wizard
  • within
  • wiseass
  • wisconsin
  • wisconsi
  • wired
  • winxp
  • winston
  • winpass
  • winnt
  • wing
  • wine
  • windozexp
  • windozeME
  • windoze98
  • windoze95
  • windoze2k
  • windoze
  • windowz
  • WindowsXP
  • windowsME
  • windows98
  • windows95
  • windows2k
  • windows
  • windose
  • win98
  • win2k
  • win2000
  • win
  • wilma
  • willie
  • williamsburg
  • williams
  • william
  • will
  • wileecoyote
  • whore
  • wholesale
  • .
  • .
  • .
  • .
  • administrat
  • admin123
  • Admin
  • ADMIN
  • admin
  • adm
  • adam
  • ada
  • action
  • accounts
  • accounting
  • account
  • access
  • ACCESS
  • accept
  • academic
  • academia
  • abcd
  • abc123
  • abc
  • aaa
  • 123qwe
  • 123asd
  • 123abc
  • 1234qwer
  • 0wned
  • 0wn3d

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよび活動が見られます。

感染方法TOPへ戻る

・RDN/Spybot.worm!gはリムーバブルドライブに感染して拡散します。また、悪意のあるWebページを訪問することによって(リンクをクリック、またはユーザが何もしなくてもユーザのシステムにワームをインストールするスクリプトをホストしているWebサイトによって)インストールされる場合もあります。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。