製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Spybot.worm.lk
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4285
対応定義ファイル
(現在必要とされるバージョン)		4625 (現在7080)
対応エンジン5.1.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
情報掲載日2009/07/14
発見日(米国日付)2003/08/11
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/19RDN/Generic ...
05/19Generic Down...
05/19RDN/Download...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7080
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る

・W32/Spybot.worm.lkはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ウイルスの特徴TOPに戻る

・W32/Spybot.worm.lkはKryptonという名前のPE圧縮プログラムで圧縮されたワームです。バイナリ画像の終わりにランダムなバイトが追加されるため、サイズが異なる複数の亜種が存在します(MD5検出を利用する一部のウイルス対策プログラムを欺くためと思われます)。

・W32/Spybot.worm.lkは、IRCチャネルを使って、バックドア、キーロギング機能を実行します。

・バックドアコマンドは以下の通りです。

auth
info
passwords
threads
kill
thread
startkeylogger
stopkeylogger
listprocesses
killprocess
disconnect
reconnect
server
quit
reboot
xxUninstall
httpserver
redirect
raw
spoofdsyn
list
delete
rename
execute
makedir
spy
stopspy
redirectspy
stopredirectspy
opencmd
cmd
get
sendto
scan
kazaa
backupfiles

・攻撃者は、開かれたバックドアから、CPU速度、RAMの容量、ディスクスペース(合計、使用済み)、Windowsのバージョン(およびビルド番号)、システムアップタイム、ローカル日時、カレントユーザの名前、ホスト名、windir、systemdirといった情報を検索できます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • W32/Spybot.worm.lkは通常、「W32/Spybot.worm.gen.h」という名前で検出されます。
  • %windir%\system32フォルダに「Mscorp32.exe」が存在します。
  • TCPポート6667(IRC)で外部へのトラフィックが見られます。
  • %windir%\system32\kazaabackupフォルダに以下のファイルが存在します。
zoneallarm_pro_crack.exe
AVP_Crack.exe
Porn.exe
Battlefield1942_bloodpatch.exe
Unreal2_bloodpatch.exe
UT2003_bloodpatch.exe
AquaNox2 Crack.exe
NBA2003_crack.exe
FIFA2003 crack.exe
C&C Generals_crack.exe
Windows XP Home Activation Crack.exe
Windows XP Pro Activation Crack
Windows XP Keygen.exe
Microsoft Visual Studios Crack.exe
Musicmatch crack.exe
DivX Crack.exe
Crack.exe
Winamp crack.exe
Nero5.5 crack.exe
DVD Copy Plus crack.exe
adaptec easy cd creator crack.exe
roxy's easy cd creator crack.exe
  • 実行後、レジストリに追加のキーが作成されます。Windows 2000システムでは、以下のようになります。
- HKEY_LOCAL_MACHINE\Software\Krypton\C-WINNT-SYSTEM32-Mscorp32.exe
- HKEY_LOCAL_MACHINE\Software\KAZAA
- HKEY_LOCAL_MACHINE\Software\KAZAA\LocalContent
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
RunOnce "NETD WIN32" with "Mscorp32.exe" reference

感染方法TOPへ戻る

・W32/Spybot.worm.lkが実行されると、Mscorp32.exeという名前でシステムフォルダに自身をコピーして起動し、自身を削除します。Mscorp32.exeファイルは内蔵のIRCチャネルを介して複数のIRCサーバにアクセスし、感染の成功を報告しようとします。

・ユーザの気を引く名前(上記を参照)で「kazaabackup」フォルダに自身のコピーを作成します(フォルダが存在しない場合は作成されます)。誰かがKazaa対応のファイル共有ネットワークからW32/Spybot.worm.lkをダウンロードし、コピーを実行すると、このサイクルが繰り返されます。

・また、Backdoor-Sub7、W95/Kuang2.svrに乗っ取られたコンピュータに自身をコピーすることもできます。

駆除方法TOPへ戻る
■指定されたエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

P2Pソフトウェア(Kazaa、Gnotella、Bearshare、Morpheus、eDonkey、eMuleなど)を使っている場合、ダウンロードした実行ファイルには特に注意してください。

圧縮ファイルのスキャンが有効に設定されていることを確認してください。常にプログラムをヒューリスティックモードにして、最新のウイルス定義ファイルを使ってダウンロードしたファイルをスキャンしてください。

Windows ME/XPでの駆除についての補足