McAfee for Small Businesses

・W32/Sdbot.18976はhttp://theinquirer.net/?article=11983でメディアの注目を集めたため、危険度を“低〔要注意〕”にしました。

・定義ファイル4245（または4245以降）を使用して圧縮ファイルをスキャンすると（デフォルトのスキャンオプションです。）、IRC-SdbotまたはW32/Sdbot.worm.gen（特定のワーム名ではなく、ワームの総称）として検出されます。

・W32/Sdbot.18976はウイルスではなくトロイの木馬で、自己複製しませんが、最近、多数の電子メールアドレスに以下のようなスパムメールが送信されました。

送信者：updates@symantec.com

件名：Last Update.

本文：
October 06, 2003
Intruder Alert 4.1 W32_Webb_Worm Policy
This policy detects the propagation of the W32.SobigF.Worm through changes in the registry.

・W32.Webb.F@mmは、さまざまなファイルから取得した電子メールアドレスに自身を送信する大量メール送信型、ネットワーク共有感染型のワームです。
自身のSMTPエンジンを使用して繁殖して、アクセス可能なネットワーク共有上に自身のコピーを作成しようとしますが、コード内のバグのために失敗します。

・添付ファイルにNorton Antivirus 2004にアップデートするプログラムがあります。

添付ファイル：nav32.zip

・nav32.zip添付ファイルにはnav32.exeファイルが含まれています。実行ファイルを展開して実行すると、W32/Sdbot.18976はWINDOWS SYSTEMディレクトリにRPCX1sq23.exeというファイル名で自身をコピーし、以下のレジストリ実行キーを作成して、起動時にW32/Sdbot.18976を読み込みます。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Run "windowsupdate" = RPCX1sq23.exe R

・W32/Sdbot.18976はIRCサーバitc.ourmoney.pp.ruに接続し、特定のチャネルに参加して、リモート攻撃者から以下の指示を待ちます。

1. システム情報の取得（CPU、RAM、ドライバのスペース、使用可能時間、Windowsのバージョン、IPアドレスなど）
2. ダウンロードファイルおよび実行ファイル
3. 実行中のプロセスの終了
4. サービス拒否（DoS）攻撃