ウイルス情報

ウイルス名 危険度

W32/Slanper.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4273
対応定義ファイル
(現在必要とされるバージョン)
4279 (現在7652)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32/Slanper-A (Sophos) :W32/Sluter (Panda) :Win32.Slanper (CA)
情報掲載日 03/07/23
発見日(米国日付) 03/06/27
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Slanper.wormはネットワーク共有繁殖型ワームです。4272以上のウイルス定義ファイルでW32/Sluter.worm の亜種として検出されます。ワームはリモートマシンのADMIN$, c$に自身をコピーしようとします。また、ポート445のIPアドレスをランダムにスキャンし、弱点のある管理者パスワードでネットワーク共有にアクセスしようとします。

・起動すると、ワームはウィンドウズ起動時に自身をロードするために、以下のレジストリキーを作成します。

・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"mssyslanhelper" = %SysDir%\msmsgri32.exe

%SysDir% はWindows 32ディレクトリです。

・また、以下のファイルを作成します。

・%SysDir%\payload.dat

・UDPパケットを送信することで接続するIPアドレス

・217.21.117.104 port 54545
68.192.170.235 port 54545

・これは、ワーム作成者がワームの進行状況を追跡するために使用される可能性があります。

・ワームは、192.168.0.0 - 192.168.255.255のような特定のIPを除いたIPアドレスをランダムで発生させます。ポート445をスキャンし、以下の管理者パスワードで接続を試みます。

・server
・!@#$%^&*
・!@#$%^&
・!@#$%^
・!@#$%
・asdfgh
・asdf
・!@#$
・654321
・123456
・1234
・123
・111
・1
・root
・admin
・(blank)

・接続すると、以下のように自身をコピーします。

・\\(machine ip)\Admin$\system32\msmsgri32.exe
\\(machine ip)\c$\winnt\system32\msmsgri32.exe

・そして自身を起動するためにネットワークジョブを変更します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のようなレジストリやファイルが存在する。

・ポート445のネットワークトラフィックが増加している。

TOPへ戻る

感染方法

・このワームはデフォルト管理者共有フォルダを経由して繁殖します。

TOPへ戻る