製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sdbot.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4258
対応定義ファイル
(現在必要とされるバージョン)
6246 (現在7565)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2011/02/18
発見日(米国日付)2003/06/30
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Sdbot.wormはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ウイルスの特徴TOPに戻る
-- 2009年3月24日更新情報 --

・本日、新しい亜種が確認されました(W32/Sdbot.worm.gen.tという名前で検出)。この亜種は以下のファイルをc:\windows\systemフォルダにドロップ(作成)します。

  • msddll.exe

・このファイルへのサービスを作成します。以下はレジストリキーです。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msddll
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msddll

・ポート445でサブネットをスキャンして脆弱なホストを探し、拡散しようとします。

・以下のドメインへのネットワーク接続が確認されました。

  • ak3jad.com

--2005年2月2日更新情報--

・Sdbotの名前は頻繁に変更されますが、通常、正式なWindowsの実行ファイル名を装います。そこで、タスクマネージャーを利用するユーザはリストにあるファイル名は有効であることが確認できます。

・AVERTによって発見されたファイル名の例です。(全てではありません)

amdpatchB.exe
cmst32.exe
hcgnwlmqge.exe
hjkds.exe
hlcbome.exe
iexplore.exe
jxsrwb.exe
kveuto.exe
ms.exe
msgfix.exe
msgfix1.exe
msmon32.exe
msmon32b.exe
msnmssgs.exe
mstasks.exe
nav32.exe
ns32.exe
rssdd.exe
spool.exe
spoolserv.exe
spoolsvc.exe
svchosst.exe
svcnet.exe
svhosint32.exe
syntwin32.exe
system.exe
system03.exe
Systmesy.exe
taskmngr.exe
unreal.exe
wc.exe
WindowsSys32.exe
WINL0G0N.exe
winudap.exe
winumc.exe
winupdate32.exe
wsndlg32.exe
wuamagrd.exe
wuamgrd.exe
wuamgrd2.exe
wuamgrdk.exe
wvsvc.exe

--2004年8月11日更新情報--

・現在、W32/Sdbot.wormの亜種の数は4000を超え、それらの多くは事前に検出されますが、その数は急速に増加しています。

・AVERTでは、W32/Sdbot.wormに属するウイルスへの対応を継続的に行っています。W32/Sdbot.wormやその亜種を確実に防ぐため、最新のDATと検出エンジンを適用し、圧縮された実行ファイルの検出を稼動状態にしてください。

--2004年4月6日更新情報--

・トロイの木馬に変化するW32/Sdbot.wormの亜種の数は700を超えます。毎週新しい複数の亜種が発見され、そのサイズや名前は様々です。

・IRC-Sdbotトロイの木馬のコードをベースとしたワームとして検出されます。IRC-Sdbotトロイの木馬のソースコードが一時期ネット上で公開され、それを利用した数多くのワームが作られました。そのようなワームは以下のような名前で検出されます。

  • W32/Sdbot.worm
  • W32/Sdbot.worm.gen
  • W32/Sdbot.worm.gen.b

・基礎となるコードのために、これらのワームはしばしば4258以降の定義ファイルを用いるとURC-Sdbotとして検出されます。より正しい検出のためには圧縮ファイルスキャンを有効にしてください。

・これらのワームはネットワーク共有を介して繁殖し、攻撃者が利用できるリモートのアクセスポイントを作成します。

・W32/Sdbot.wormの亜種の中には、以下の脆弱性を利用するウイルスもあります。

  • DCOM RPC 脆弱性
  • WEBDAV 脆弱性
  • LSASS 脆弱性
  • ASN .1 の脆弱性
  • Workstation サービスのバッファ オーバーラン
  • プラグ アンド プレイ の脆弱性
  • Imail IMAPD ログイン ユーザーネームの脆弱性
  • Cisco IOS HTTP 認証の脆弱性

・W32/Sdbot.wormの亜種の中には、システム攻撃中に上記の脆弱性を組み合わせて利用するウイルスもあります。

・以下の説明は、これらのワームのひとつについて記述されていますが、特徴は他の多くの亜種でよくみられるものです。(正確なファイル名やレジストリキー名などはもちろん異なります。)

・W32/Sdbot.wormが実行されると、WINDOWS SYSTEM(%SysDir%)ディレクトリに自身をコピーします。以下のレジストリ実行キーを作成して、システムの起動時に自身を読み込みます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "Services Host" = scchost.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\RunServices "Services Host" = scchost.exe

ネットワーク繁殖

・W32/Sdbot.wormは、以下のいずれかの理由でターゲットシステムのアクセス可能なファイル共有で繁殖します。

  1. ターゲットシステムのセキュリティが不十分
  2. 感染システムにログオンしたユーザ認証で、ネットワーク内の他のシステムにアクセス可能

・ランダムなIPサブネットをスキャンして、ネットワーク内のマシンを検索します。システムを発見すると、発見したマシンの’C$’および/または’C’共有にアクセスします。以下のアカウントが接続に使われます。パスワードは必要ありません。

  • Administrator
  • Owner
  • Guest
注:W32/Sdbot.wormは、現在認証されているユーザを装います。パスワードが空欄のままではターゲットシステムにアクセスできない場合、現在のユーザ認証を使用して、リモートシステムにアクセスします。

・また、D$、E$、IPC$、Print$、Admin$などの管理共有にアクセスしようとする亜種もあります。これらの亜種には、パスワード保護された共有にアクセスする際に使用する一般的なユーザ名/パスワードのリストが組み込まれています。

・アクセスに成功すると、以下のローケーションのいずれか(Windows startupフォルダ)の共有に自身をコピーします。

  • C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup
  • C:\WINDOWS\Start Menu\Programs\Startup
  • C:\Documents and Settings\All Users\Start Menu\Programs\Startup
  • \WINNT\Profiles\All Users\Start Menu\Programs\Startup
  • \WINDOWS\Start Menu\Programs\Startup
  • \Documents and Settings\All Users\Start Menu\Programs\Startup

・最後に、NetScheduleJobAdd機能を呼び出して、コピーしたファイルを実行します。

リモートアクセス型トロイの木馬

・W32/Sdbot.wormはIRCチャネルとIRCサーバに接続して、指示を待ちます。リモート攻撃者は、このトロイの木馬を使用して以下のさまざまなタスクを実行します。

  • システム情報(CPU、ドライバのスペース、RAM、OSのバージョン、ユーザ名、コンピュータ名、IPアドレス)の取得
  • IRCコマンド(チャネルへの参加、メッセージの送信)の実行
  • SYNフラッド攻撃の実行
  • プロセスの終了
  • ファイルのダウンロード
  • ファイルの実行

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・W32/Sdbot.wormは、以下の2つのレジストリキー値を設定することによりWindows2000、XPシステムのデフォルトのC$、D$、Admin$といった管理共有を無効にします。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters "AutoShareServer" = DWORD:0
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters "AutoShareWks" = DWORD:0

・ヌルセッション時に共有の一覧を無効にするために、以下のレジストリキーが設定されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Lsa "restrictanonymous" = DWORD:1

・TCPポート6667上のIRC.DOTBLUE.ORGサーバの、外向けのIPトラフィックで感染の兆候が見られます。

感染方法TOPへ戻る

繁殖の共有

・W32/Sdbot.worm は、アクセス可能、もしくはセキュアレベルの低い共有ネットワークを通じて繁殖します。また、いくつかの亜種は、危険度の高い脆弱性を利用します。

  • DCOM RPC 脆弱性(MS03-026) - http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
  • WEBDAV 脆弱性(MS03-007) - http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx
  • LSASS 脆弱性(MS04-011) - http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
  • ASN .1 の脆弱性(MS04-007) - http://www.microsoft.com/technet/security/bulletin/MS04-007.mspx
  • Workstation サービスのバッファ オーバーラン(MS03-049) - http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx
  • プラグ アンド プレイ の脆弱性(MS05-039) -http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx
  • Imail IMAPD ログイン ユーザーネームの脆弱性 - http://www.osvdb.org/displayvuln.php?osvdb_id=16804
  • Cisco IOS HTTP 認証の脆弱性 - http://www.cisco.com/warp/public/707/IOS-httplevel-pub.html

・以下のようなデフォルトの管理共有部を通して繁殖する場合、いくつかの亜種は、これらの共有部へのアクセスを強化するために、簡単なユーザ名とパスワードのリストを利用します。

  • PRINT$
  • E$
  • D$
  • C$
  • ADMIN$
  • IPC$

脆弱なパスワードと設定

・いくつかの亜種は、MS SQLサーバの脆弱な管理パスワードと設定を精査することが知られています。成功時、W32/Sdbot.wormはSQLサーバアクセスを通して、リモートシステムコマンドを実行します。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足


・多くの共有ネットワークを介して繁殖するウイルスは脆弱なユーザネームやパスワードを利用します。"admin"や"administrator"などというユーザネームと、"admin"や"123456"などのパスワードを利用して辞書攻撃をかけ、administratorの権利を得ます。

・このような弱いユーザ名 / パスワードはローカルユーザーの資格を使う事が出来るようになります。これは、システムのsuper-administratorや、domain-adminがウイルスに感染すると、そのウイルスはこのシステムのすべての範囲に影響を与えることが出来るということを意味します。

・このようなワームは管理のされていない管理者共有を利用することが多いので、感染を防ぐためには、すべてのシステムの管理者共有(C$, IPC$, ADMIN$)を削除してしまうと良いでしょう。また、下記のコマンドが含まれたシンプルなバッチファイルをログオンスクリプトから実行したり、スタートアップフォルダに配置することも役に立つでしょう。

  • net share c$ /delete
  • net share d$ /delete
  • net share e$ /delete
  • net share ipc$ /delete
  • net share admin$ /delete