ウイルス情報

ウイルス名 危険度

W32/Spybot.worm.lk

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4285
対応定義ファイル
(現在必要とされるバージョン)
4625 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2009/07/14
発見日(米国日付) 2003/08/11
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Spybot.worm.lkはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

TOPへ戻る

ウイルスの特徴

・W32/Spybot.worm.lkはKryptonという名前のPE圧縮プログラムで圧縮されたワームです。バイナリ画像の終わりにランダムなバイトが追加されるため、サイズが異なる複数の亜種が存在します(MD5検出を利用する一部のウイルス対策プログラムを欺くためと思われます)。

・W32/Spybot.worm.lkは、IRCチャネルを使って、バックドア、キーロギング機能を実行します。

・バックドアコマンドは以下の通りです。

auth
info
passwords
threads
kill
thread
startkeylogger
stopkeylogger
listprocesses
killprocess
disconnect
reconnect
server
quit
reboot
xxUninstall
httpserver
redirect
raw
spoofdsyn
list
delete
rename
execute
makedir
spy
stopspy
redirectspy
stopredirectspy
opencmd
cmd
get
sendto
scan
kazaa
backupfiles

・攻撃者は、開かれたバックドアから、CPU速度、RAMの容量、ディスクスペース(合計、使用済み)、Windowsのバージョン(およびビルド番号)、システムアップタイム、ローカル日時、カレントユーザの名前、ホスト名、windir、systemdirといった情報を検索できます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • W32/Spybot.worm.lkは通常、「W32/Spybot.worm.gen.h」という名前で検出されます。
  • %windir%\system32フォルダに「Mscorp32.exe」が存在します。
  • TCPポート6667(IRC)で外部へのトラフィックが見られます。
  • %windir%\system32\kazaabackupフォルダに以下のファイルが存在します。
zoneallarm_pro_crack.exe
AVP_Crack.exe
Porn.exe
Battlefield1942_bloodpatch.exe
Unreal2_bloodpatch.exe
UT2003_bloodpatch.exe
AquaNox2 Crack.exe
NBA2003_crack.exe
FIFA2003 crack.exe
C&C Generals_crack.exe
Windows XP Home Activation Crack.exe
Windows XP Pro Activation Crack
Windows XP Keygen.exe
Microsoft Visual Studios Crack.exe
Musicmatch crack.exe
DivX Crack.exe
Crack.exe
Winamp crack.exe
Nero5.5 crack.exe
DVD Copy Plus crack.exe
adaptec easy cd creator crack.exe
roxy's easy cd creator crack.exe
  • 実行後、レジストリに追加のキーが作成されます。Windows 2000システムでは、以下のようになります。
- HKEY_LOCAL_MACHINE\Software\Krypton\C-WINNT-SYSTEM32-Mscorp32.exe
- HKEY_LOCAL_MACHINE\Software\KAZAA
- HKEY_LOCAL_MACHINE\Software\KAZAA\LocalContent
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
RunOnce "NETD WIN32" with "Mscorp32.exe" reference

TOPへ戻る

感染方法

・W32/Spybot.worm.lkが実行されると、Mscorp32.exeという名前でシステムフォルダに自身をコピーして起動し、自身を削除します。Mscorp32.exeファイルは内蔵のIRCチャネルを介して複数のIRCサーバにアクセスし、感染の成功を報告しようとします。

・ユーザの気を引く名前(上記を参照)で「kazaabackup」フォルダに自身のコピーを作成します(フォルダが存在しない場合は作成されます)。誰かがKazaa対応のファイル共有ネットワークからW32/Spybot.worm.lkをダウンロードし、コピーを実行すると、このサイクルが繰り返されます。

・また、Backdoor-Sub7、W95/Kuang2.svrに乗っ取られたコンピュータに自身をコピーすることもできます。

TOPへ戻る

駆除方法

■指定されたエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

P2Pソフトウェア(Kazaa、Gnotella、Bearshare、Morpheus、eDonkey、eMuleなど)を使っている場合、ダウンロードした実行ファイルには特に注意してください。

圧縮ファイルのスキャンが有効に設定されていることを確認してください。常にプログラムをヒューリスティックモードにして、最新のウイルス定義ファイルを使ってダウンロードしたファイルをスキャンしてください。

Windows ME/XPでの駆除についての補足

TOPへ戻る