製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Spybot.worm!cq
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5841
対応定義ファイル
(現在必要とされるバージョン)
5850 (現在7599)
対応エンジン5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名BitDefender - Backdoor.IRCBot.ACOU F-Secure - Backdoor.IRCBot.ACOU Kaspersky - Trojan-Downloader.Win32.Genome.abjq Symantec - W32.IRCBot
情報掲載日2010/01/05
発見日(米国日付)2009/12/23
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/21W32/Akbot!35...
10/21RDN/Generic ...
10/21RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7599
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Spybot.worm!cqはIRCで制御されるワーム兼バックドアで、リモート攻撃者はキー入力とパスワードをログに記録したり、感染システムをプロキシとしてDDoS攻撃を仕掛けたり、他のシステムをスキャン、利用して感染したり、ネットワークトラフィックを監視したりすることができます。

ファイル情報:
  • ファイルサイズ - 42556バイト
  • MD5 - D04344A2052F0AE2AF8F1B9A1981541F
  • SHA1 - CBEB5AE9D2ECC6AF8C6BF77709818005559C1B60

ウイルスの特徴TOPに戻る

・W32/Spybot.worm!cqが実行されると、以下のレジストリ項目を作成します。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
PHIME2005: "%UserProfile%\Desktop\ImSched.exe /SYNC"

・上記のレジストリ項目により、再起動のたびに自身が実行されるようにします。

・実行時、以下のサイトに接続しようとします。

  • http:// 125.20[削除].59

・botがIRCサーバに接続すると、リモート攻撃者は、botを使用して、インスタントメッセンジャーで自身のコピーを送信します。乗っ取ったコンピュータを完全に制御したリモート攻撃者は、悪質なコマンドを実行できます。

・実行後、botはランタイム時にランダムに作成され、時々変わるIRCサーバに接続しようとします。IRCサーバの一例は以下のとおりです。

  • 34.4[削除]4.65
  • 16.1[削除]4.12
  • 102.10[削除]27.4
  • 182.4[削除]6.81
  • 163.5[削除]07.2
  • 142.12[削除]8.10
  • 169.3[削除]8.32

・辞書攻撃により資格情報を調べ、ネットワークを乗っ取ります。システムを認証するため、以下のパスワードが使われる可能性があります。

  • 1q2w3e
  • asdfgh
  • manager
  • 901100
  • mypass123
  • mypass
  • pw123
  • admin123
  • mypc123
  • Login
  • login
  • owner
  • secret
  • temp123
  • test123
  • foobar
  • administrato
  • patrick
  • alpha
  • 123abc
  • 1234qwer
  • 121212
  • 111111
  • enable
  • godblessyou
  • ihavenopass
  • 123asd
  • super
  • internet
  • computer
  • server
  • 123qwe
  • sybase
  • oracle
  • abc123
  • database
  • passwd
  • 88888888
  • 11111111
  • 00000000
  • 000000
  • 54321
  • 654321
  • 123456789
  • 1234567
  • Password
  • Admin
  • admin
  • 12345
  • 12345678
  • letmein
  • baseball
  • qwerty
  • shadow
  • mustang
  • pussy
  • 123456
  • harley
  • password

・W32/Spybot.worm!cqにはIRC(インターネットリレーチャット)クライアントが組み込まれており、IRCチャネルに接続し、コマンドの受信待機を行い、リモート攻撃者が以下の動作を実行できるようにします。

  • 乗っ取ったコンピュータでのIRCクライアントのコントロール
  • 自身の更新または削除
  • トロイの木馬の他のIRCチャネルへの送信
  • 自身の他のコンピュータの共有フォルダへのコピー
  • ファイルのダウンロードおよび実行
  • 特定のターゲットに対するサービス拒否攻撃

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記の動作およびレジストリ項目が存在します。
  • 上記のファイルが存在します。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。また、一部の亜種はWebの脆弱性を利用してインストールされます。

駆除方法TOPへ戻る
■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足