製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sdbot.worm.gen.ax!EBBC416B
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4982
対応定義ファイル
(現在必要とされるバージョン)
5861 (現在7599)
対応エンジン4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名BitDefender - Trojan.Generic.2267731
Comodo - NetWorm.Win32.Kolabc.ae0
Kaspersky - Net-Worm.Win32.Kolabc.ae
Microsoft - Backdoor:Win32/Rbot.gen!G
情報掲載日2010/01/15
発見日(米国日付)2007/03/12
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/21W32/Akbot!35...
10/21RDN/Generic ...
10/21RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7599
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Sdbot.worm.gen.ax!EBBC416BはIRCで管理されたバックドアで、攻撃者は乗っ取ったコンピュータに無許可でリモートアクセスできます。攻撃者は乗っ取ったコンピュータを制御し、インターネットシステムに対するDDoS攻撃を仕掛けます。

・IRC(インターネットリレーチャット)を命令、制御機構として使用するW32/Sdbotには多数の亜種が存在します。一般的に、脆弱性と安全性の低いパスワードを利用して、ネットワーク上の脆弱なマシンに拡散します。

ファイル情報:

  • ファイルサイズ - 188416バイト
  • MD5 - EBBC416B11C568791EDB7DC1489D9479
  • SHA1 - 6EB79BC18001A29619E98FF2D66662AF5C7FD244

ウイルスの特徴TOPに戻る

・W32/Sdbot.worm.gen.ax!EBBC416Bの特徴は以下のとおりです。

・安全性の低いユーザ名とパスワードを使用したセキュリティが不十分なネットワーク共有や、ローカルの資格情報でファイルを他のシステムに書き込める、アクセス可能な共有を持つマシンに繁殖します。

・複数の共有に自身のコピーを作成して、リモートマシンに繁殖します。

・ターゲットマシンへのバックドアを提供し、マシン上のデータを漏洩します(ハッカーはかなりのリモートアクセス機能を利用できます)。

・「Exploit.FTPD」を利用して、脆弱なネットワークに繁殖します。

・Exploit.FTPDはネットワークに繁殖するため、埋め込まれた多数のエクスプロイトを使って、リモートマシンを利用しようとします。攻撃に成功すると、あらかじめ定義されたIRCサーバ/チャネルで作者に報告します。

・実行時、以下の場所に自身をコピーします。

  • %WinDir%\wmssvc.exe

・実行時、現在の場所から自身を削除し、wmssvc.exeというファイル名で%Windir%に自身をコピーします。さらに、以下のレジストリキーを作成して、自身をサービスとして登録します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NET Service\

・サービスの特徴は以下のとおりです。

  • ImagePath: ""%WirDir%\wmssvc.exe""
  • DisplayName: "NET Service"
  • Description: "Enables NET messages issued by Windows based programs and components. This service cannot be stopped."

・以下のレジストリ項目が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Windows File Protection
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

・以下のレジストリ項目が改変されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Windows File Protection\SFCDisable

・上記のレジストリ項目により、レジストリ項目を改変し、Windowsファイル保護を無効にします。

・以下のサービスを無効にします。

  • Telnet
  • Security Center
  • Remote Registry
  • Messenger

・また、以下のレジストリの改変を行って、Windowsのセキュリティ設定を下げます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify: 0x00000001

・上記のレジストリ項目により、乗っ取ったユーザのシステムのファイアウォール、ウイルス対策ソフトウェア、Windowsの自動更新を無効にします。

・また、以下のレジストリ項目を使って、WindowsアップデートでWindows XP Service Pack 2がインストールされないようにします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2: 0x00000001

・以下のレジストリ項目を使って、再起動時に非表示の共有が自動的に作成されないようにします。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters\AutoShareWks: 0x00000000

・以下のレジストリ項目を使って、自動アップデートを無効にします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\AUOptions: 0x00000001

・W32/Sdbot.worm.gen.ax!EBBC416Bがコマンドを受信すると実行する可能性のある動作は以下のとおりです。

・感染したコンピュータの動作中のプロセスおよびスレッドをリストアップします。

  • プロセスおよびスレッドの開始、終了、非表示
  • ローカルWebサーバを開く
  • 指定されたサブネットのIPアドレスのポートスキャンにより、感染可能なターゲットを特定
  • 指定されたポートでバックドアを開く
  • ファイルの転送
  • MIRCを介した繁殖
  • 自身のアップデート
  • 感染したマシンの再起動
  • ネットワークトラフィックの監視
  • ネットワーク共有の作成、削除、拡散
  • AOLインスタントメッセンジャーを介した拡散

・また、ユーザのブラウザでの活動を監視し、閲覧中のドメイン名に以下の文字列が存在する場合、ログイン資格情報、PIN情報を盗み出します。文字列の一例は以下のとおりです。

  • sandbox.norman.com
  • norman.com
  • castlecops.com
  • castlecop
  • rootkit.com
  • WindowsLiveTranslator.com
  • download.com
  • walmart.com
  • amazon.com
  • redhat.com
  • debian.org
  • ubuntu.org
  • majorgeeks.com
  • gmail.com
  • hotmail.com
  • msdn.com
  • msn.com
  • mamboserver.com
  • php.org
  • php.net
  • mysql.com
  • softpedia.com
  • symantec.com
  • kaspersky
  • f-secure
  • norman
  • mcafee
  • afraid.org
  • paypal.com
  • ebay.com
  • 110mb.com
  • livejournal.com
  • youtube.com
  • blogspot.com
  • nabble.com
  • myspace.com
  • dyndns.org
  • dyndns.com
  • unixtool.com
  • linuxrocket.net
  • secwatch.org
  • secunia.com
  • securityfocus.com
  • xfocus.com
  • sourceforge.net
  • orkut
  • wordpress.com
  • blog.com
  • blogger.com
  • overture.com
  • about.com
  • answers.com
  • altavista.com
  • msnscache.com
  • webcrawler.com
  • g.live.com
  • live.com

・マルウェア、セキュリティ関連アプリケーションの両方を含む他のサービスのリストを格納しており、それらのサービスを終了しようとします。

  • TROJANTRAP3.EXE
  • OLLYDBG.EXE
  • LORDPE.EXE
  • AVP32.EXE
  • AUTOUPDATE.EXE
  • NORTON32.EXE
  • PANDA32.EXE
  • PROCEXP.EXE
  • REGMON.EXE
  • TCPMON.EXE
  • TCPVIEW.EXE
  • VMWARE-AUTHD.EXE
  • VMWARE.EXE
  • CTFMOM.EXE
  • WINCMD.EXE
  • NETLOGON.EXE
  • BLING.EXE
  • CRSSR.EXE
  • i11r54n4.exe
  • PandaAVEngine.exe
  • TaskMon
  • sysinfo.exe
  • Penis32.exe
  • Microsoft Inet Xp
  • winsys.exe

・ゲームのパスワードを盗み出し、情報をリモート攻撃者に送信しようとします。ゲームの一例は以下のとおりです。

  • Call of Duty 2
  • Quake 4
  • Neverwinter Nights (Hordes of the Underdark)
  • Neverwinter Nights (Shadows of Undrentide)
  • Shogun Total War
  • Battlefield Vietnam
  • Battlefield 1942
  • Battlefield 2142
  • Counter-Strike 1.6
  • Half-Life

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のレジストリ項目およびファイルが存在します。
  • 上記の動作が見られます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。

・IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足