製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Spybot.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4579
対応定義ファイル
(現在必要とされるバージョン)
6573 (現在7515)
対応エンジン5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky - Trojan.Win32.Sasfis.bboe Microsoft - Backdoor:Win32/Hupigon.EC NOD32 - a variant of Win32/Packed.Themida Symantec - Trojan.GenAVG - BackDoor.Hupigon5.ANIX Ikarus - Trojan.Win32.Agent Kaspersky - Trojan.Win32.Agent.djvq Microsoft - Backdoor:Win32/Hupigon.XD
情報掲載日2010/07/01
発見日(米国日付)2004/09/15
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/29RDN/Download...
07/29RDN/Download...
07/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7515
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Spybot.wormはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ファイル情報

  • MD5 - 17751B2B8344EC0B790695C0A64E48E2
  • SHA - 8508CE2FF2A45EA3088D5EEF5E9FFE2C7BF761FA
----------- 2011年1月31日更新 --------- ファイル情報
  • MD5 - 8d071b66701b6bc1f86a6bf33aa6493b
  • SHA1 - d0a51f372fe60ebf51b67a7ccef925d4af8e0caf

ウイルスの特徴TOPに戻る
----------- 2011年1月31日更新 ---------

・実行時、iexplore.exeにスレッドを挿入し、リモートポート8708を介して210.48.[削除]に接続して悪質な活動を行います。

・実行後、以下の場所に自身をコピーし、自身を削除します。

  • %ProgramFiles%\Common Files\Microsoft Shared\MSInfo\msbackup.exe
  • %ProgramFiles%\mmsbackup.exe
  • %SystemDrive%\msbackup.exe

・また、以下のファイルをドロップ(作成)します。

  • %WINDIR%\system32\drivers\oreans32.sys
  • %SystemDrive%\AutoRun.inf

・また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。

  • %RemovableDrive%\autorun.inf

・autorun.infは、以下のコマンド構文により、W32/Spybot.wormが起動するよう設定されます。

  • [AutoRun]
  • Open = msbackup.exe
  • shellexecute = msbackup.exe
  • shell\Auto\command = msbackup.exe

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Backup_Info
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Backup_Info\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Backup_Info
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Backup_Info\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Enum

・以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000\Control\
*NewlyCreated* = 0x00000000 ActiveService = “oreans32"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000\
Service = “oreans32" Legacy = 0x00000001 ConfigFlags = 0x00000000 Class = “LegacyDriver" ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}" DeviceDesc = “oreans32"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\
NextInstance = 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Backup_Info\Security\
Security =
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Backup_Info\
Type = 0x00000110 Start = 0x00000002 ErrorControl = 0x00000000 ImagePath = “%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\msbackup.exe" DisplayName = “Backup_Info" ObjectName = “Local System" Description = “Backup System Info"

・上記のレジストリ項目により、W32/Spybot.wormが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Enum\
0 = “Root\LEGACY_OREANS32\0000" Count = 0x00000001 NextInstance = 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Security\
Security =
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\
Type = 0x00000001 Start = 0x00000001 ErrorControl = 0x00000001 ImagePath = “\??\%WinDir%\system32\drivers\oreans32.sys" DisplayName = “oreans32" 注:[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)、%Program Files%\はC:\Program Files、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\] --------

・実行時、以下の場所にファイルをコピーします。

  • %Program Files%\Common Files\Microsoft Shared\MSInfo\Recycled.scr [隠しファイル] [W32Spybot.wormという名前で検出]
  • %Program Files%\_Recycled.scr [隠しファイル] [W32Spybot.wormという名前で検出]
  • %SystemDrive%\Recycled.scr [隠しファイル] [W32Spybot.wormという名前で検出]

・また、以下のファイルをドロップ(作成)します。

  • %Program Files%\McAfee\SiteAdvisor\Download\s1no
  • %WINDIR%\system32\drivers\oreans32.sys
  • %SystemDrive%\AutoRun.inf [隠しファイル] [W32Spybot.wormという名前で検出]

・また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。

  • %RemovableDrive%\autorun.inf [隠しファイル] [Generic!atrという名前で検出]

・autorun.infは、以下のコマンド構文により、W32/Spybot.wormが起動するよう設定されます。

  • [AutoRun]
  • open=Recycled.scr
  • shellexecute=Recycled.scr
  • shell\open\Command=Recycled.scr

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Recycled Services

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\]
    “ImagePath” = "\??\%WINDIR%\system32\drivers\oreans32.sys"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Recycled Services\]
    “ImagePath” = "%Program Files%\Common Files\Microsoft Shared\MSINFO\Recycled.scr"

・上記のレジストリ項目により、W32/Spybot.wormが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

・また、iexplorer.exeに自身のコードを挿入し、リモートポート9111を介して210.48.[削除].61に接続します。

[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000), %Program Files%\はC:\Program Files、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、ほとんどの場合はC:\になります]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。
  • 上記のIPアドレスへの予期しないネットワーク接続が存在します。

感染方法TOPへ戻る

・W32/Spybot.wormは、AOL Instant Messenger、MIRCチャットクライアント、ネットワーク共有が適切に設定/保護されていない共有を介して、MS06-040の脆弱性を利用して拡散します。

駆除方法TOPへ戻る

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。