ウイルス情報

ウイルス名 危険度

RDN/Spybot.worm!g

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
7256
対応定義ファイル
(現在必要とされるバージョン)
7264 (現在7628)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Comodo - TrojWare.Win32.Buzus.DAN Fortinet - W32/Buzus.GW!tr Microsoft - VirTool:Win32/DelfInject.gen!BI Symantec - Trojan.ADH Trend - WORM_IRCBOT.SDY
情報掲載日 2013/11/21
発見日(米国日付) 2013/06/27
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・RDN/Spybot.worm!gはアクセス可能なディスクボリュームのルートに自身をコピーするワームです。さらに、ボリュームのルートにAutorun.infファイルを作成し、次にボリュームがマウントされたときに実行されるようにします。

TOPへ戻る

ウイルスの特徴

「RDN/Spybot.worm!g」は感染したマシンへの不正アクセス、制御を可能にするワームです。リモート攻撃者から命令を受け取るため、リモートサーバに接続します。また、システム情報を盗み出し、リモート攻撃者に送信する可能性があります。

・また、「RDN/Spybot.worm!g」は、乗っ取ったマシンにバックドアからアクセスできるようにするため、ファイアウォールルールを作成します。

「RDN/Spybot.worm!g」はリムーバブルメディアを介して拡散するワームです。

・実行時、リモートポート7562を介して以下のIPアドレスに接続しようとします。

  • bb121-6-244-86.si[削除]et.com.sg:7562
  • pccw.h[削除].org
  • 86. [削除].6.121
  • 250. [削除].255.239

・以下は一般的なIRCトラフィックのBOTコマンドです。

  • c_repeat
  • c_part
  • c^qseh
  • c_join
  • c_nick
  • MODE %s
  • c_mode
  • c_raw
  • repeat
  • MODE %s
  • cxaoa
  • ACTION %s
  • NICK %s
  • c_rndnick
  • QUIT :Client exiting
  • PING %s
  • PING
  • VERSION %s
  • VERSION

・実行時、以下の場所に自身をコピーします。

  • %systemdrive%\WINDOWS\system32\drivers\tcpip.sys
  • %systemdrive%\Program Files\Common Files\AdobeARM.exe
  • [リムーバブルドライブ]: \RECYCLER
  • [リムーバブルドライブ]: \RECYCLER\S-1-5-21[不定]
  • [リムーバブルドライブ]: \RECYCLER\S-1-5-21[不定]\Desktop.ini
  • [リムーバブルドライブ]: \RECYCLER\S-1-5-21[不定]\autorunme.scr
  • [リムーバブルドライブ]: \autorun.inf

・また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。

・「AutoRun.inf」ファイルはRDN/Spybot.worm!gの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、RDN/Spybot.worm!gが自動的に起動されます。

・autorun.infは以下のコマンド構文でRDN/Spybot.worm!gのファイルを起動するように設定されています。

[autorun]

645FF040-5081-101B-9F08-00AA002F954E

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

. . .

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

S-1-5-21[不定]

USEAUTOPLAY=1

open=RECYCLER\S-1-5-21[不定]\autorunme.scr

S-1-5-21[不定]

S-1-5-21[不定]

action=Open folder to view files

S-1-5-21[不定]

shell\open=Open

shell\open\command=RECYCLER\S-1-5-21[不定]\autorunme.scr

shell\open\default=1

S-1-5-21[不定]

S-1-5-21[不定]

・以下のレジストリキー値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\patches: "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe ARMS: "%systemdrive%\Program Files\Common Files\AdobeARM.exe"

・上記のレジストリキー値により、RDN/Spybot.worm!gが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Program Files\Common Files\AdobeARM.exe: "%systemdrive%\Program Files\Common Files\AdobeARM.exe:*:Enabled:Adobe ARMS"

・上記のレジストリキー値により、RDN/Spybot.worm!gが通常の認証を回避するファイアウォールルールを作成します。また、リモート攻撃者がユーザに気づかれずに乗っ取ったシステムを制御するコマンドを発行できる可能性があります。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpNumConnections: 0x00FFFFFE

・上記のレジストリキー値により、TCPが同時に開くことができる接続の最大数を制限するTCPパラメータを改変します。

  • HKey_Users\S-1-5-21-4[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions: 0x00000001
  • HKey_Users\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun: 0x00000001

・上記のレジストリキー値により、フォルダオプションの項目をすべてのWindowsエクスプローラのメニューおよびコントロールパネルから削除します。

・以下はシステムで改変されるレジストリキー値です。

  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000001
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000002
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden: 0x00000001
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden: 0x00000000
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000001
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000

・上記のレジストリキー値により、自身がユーザに見えないようにします。

・実行時、リモートマシンの管理者アカウントに接続しようとします。以下のパスワードを使って、総当たり攻撃を仕掛けます。

  • zxcv
  • zxc
  • zulu
  • zombie
  • zmodem
  • zimmerman
  • zimmerma
  • ziggy
  • zeitgeis
  • zebra
  • zap
  • yxcv
  • youwontguessme
  • young
  • yosemite
  • yolanda
  • yellowstone
  • yellowst
  • yellow
  • yankee
  • yang
  • yaco
  • xyzzy
  • xyz
  • xxxxxxxxx
  • xxxxxxxx
  • xxxxxxx
  • xxxxxx
  • xxxxx
  • xxxx
  • xxx
  • xray
  • xmodem
  • xmen
  • xman
  • xfer
  • xena
  • wyoming
  • wwwadmin
  • www
  • wwii
  • WRITE
  • wormwood
  • worm
  • work
  • worf
  • wordperf
  • word
  • woodwind
  • wood
  • women
  • wombat
  • woman
  • wolverin
  • wolf
  • wizard
  • within
  • wiseass
  • wisconsin
  • wisconsi
  • wired
  • winxp
  • winston
  • winpass
  • winnt
  • wing
  • wine
  • windozexp
  • windozeME
  • windoze98
  • windoze95
  • windoze2k
  • windoze
  • windowz
  • WindowsXP
  • windowsME
  • windows98
  • windows95
  • windows2k
  • windows
  • windose
  • win98
  • win2k
  • win2000
  • win
  • wilma
  • willie
  • williamsburg
  • williams
  • william
  • will
  • wileecoyote
  • whore
  • wholesale
  • .
  • .
  • .
  • .
  • administrat
  • admin123
  • Admin
  • ADMIN
  • admin
  • adm
  • adam
  • ada
  • action
  • accounts
  • accounting
  • account
  • access
  • ACCESS
  • accept
  • academic
  • academia
  • abcd
  • abc123
  • abc
  • aaa
  • 123qwe
  • 123asd
  • 123abc
  • 1234qwer
  • 0wned
  • 0wn3d

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルおよび活動が見られます。

TOPへ戻る

感染方法

・RDN/Spybot.worm!gはリムーバブルドライブに感染して拡散します。また、悪意のあるWebページを訪問することによって(リンクをクリック、またはユーザが何もしなくてもユーザのシステムにワームをインストールするスクリプトをホストしているWebサイトによって)インストールされる場合もあります。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る