ウイルス情報

ウイルス名 危険度

W32/Spybot.worm!cq

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5841
対応定義ファイル
(現在必要とされるバージョン)
5850 (現在7656)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 BitDefender - Backdoor.IRCBot.ACOU F-Secure - Backdoor.IRCBot.ACOU Kaspersky - Trojan-Downloader.Win32.Genome.abjq Symantec - W32.IRCBot
情報掲載日 2010/01/05
発見日(米国日付) 2009/12/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Spybot.worm!cqはIRCで制御されるワーム兼バックドアで、リモート攻撃者はキー入力とパスワードをログに記録したり、感染システムをプロキシとしてDDoS攻撃を仕掛けたり、他のシステムをスキャン、利用して感染したり、ネットワークトラフィックを監視したりすることができます。

ファイル情報:
  • ファイルサイズ - 42556バイト
  • MD5 - D04344A2052F0AE2AF8F1B9A1981541F
  • SHA1 - CBEB5AE9D2ECC6AF8C6BF77709818005559C1B60

TOPへ戻る

ウイルスの特徴

・W32/Spybot.worm!cqが実行されると、以下のレジストリ項目を作成します。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
PHIME2005: "%UserProfile%\Desktop\ImSched.exe /SYNC"

・上記のレジストリ項目により、再起動のたびに自身が実行されるようにします。

・実行時、以下のサイトに接続しようとします。

  • http:// 125.20[削除].59

・botがIRCサーバに接続すると、リモート攻撃者は、botを使用して、インスタントメッセンジャーで自身のコピーを送信します。乗っ取ったコンピュータを完全に制御したリモート攻撃者は、悪質なコマンドを実行できます。

・実行後、botはランタイム時にランダムに作成され、時々変わるIRCサーバに接続しようとします。IRCサーバの一例は以下のとおりです。

  • 34.4[削除]4.65
  • 16.1[削除]4.12
  • 102.10[削除]27.4
  • 182.4[削除]6.81
  • 163.5[削除]07.2
  • 142.12[削除]8.10
  • 169.3[削除]8.32

・辞書攻撃により資格情報を調べ、ネットワークを乗っ取ります。システムを認証するため、以下のパスワードが使われる可能性があります。

  • 1q2w3e
  • asdfgh
  • manager
  • 901100
  • mypass123
  • mypass
  • pw123
  • admin123
  • mypc123
  • Login
  • login
  • owner
  • secret
  • temp123
  • test123
  • foobar
  • administrato
  • patrick
  • alpha
  • 123abc
  • 1234qwer
  • 121212
  • 111111
  • enable
  • godblessyou
  • ihavenopass
  • 123asd
  • super
  • internet
  • computer
  • server
  • 123qwe
  • sybase
  • oracle
  • abc123
  • database
  • passwd
  • 88888888
  • 11111111
  • 00000000
  • 000000
  • 54321
  • 654321
  • 123456789
  • 1234567
  • Password
  • Admin
  • admin
  • 12345
  • 12345678
  • letmein
  • baseball
  • qwerty
  • shadow
  • mustang
  • pussy
  • 123456
  • harley
  • password

・W32/Spybot.worm!cqにはIRC(インターネットリレーチャット)クライアントが組み込まれており、IRCチャネルに接続し、コマンドの受信待機を行い、リモート攻撃者が以下の動作を実行できるようにします。

  • 乗っ取ったコンピュータでのIRCクライアントのコントロール
  • 自身の更新または削除
  • トロイの木馬の他のIRCチャネルへの送信
  • 自身の他のコンピュータの共有フォルダへのコピー
  • ファイルのダウンロードおよび実行
  • 特定のターゲットに対するサービス拒否攻撃

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記の動作およびレジストリ項目が存在します。
  • 上記のファイルが存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。また、一部の亜種はWebの脆弱性を利用してインストールされます。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る