ウイルス情報

ウイルス名 危険度

W32/Spybot.worm.rp

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4303
対応定義ファイル
(現在必要とされるバージョン)
4336 (現在7634)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Randex.Y (Symantec):Win32/HLLW.SpyBot (GeCAD RAV):WORM_SPYBOT.E (Trend)
情報掲載日 03/11/10
発見日(米国日付) 03/11/05
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Spybot.worm.rpは、XBOX64.EXE、および/またはNETD32.EXEという名前の悪質な32ビットのPEファイルです。ファイルのサイズは144,656バイト(10進数)で、内部はKryptonで暗号化されています。

・(例えばWindows 2000システムで)W32/Spybot.worm.rpは密かに実行するので、GUIメッセージボックスを表示しません。Windowsタスクマネージャのプロセスリストには、xbox64.exe、および/またはnetd32.exeとして表示されます。

・W32/Spybot.worm.rpは、c:\winnt\system32\XBox64.exeに自身を密かにコピーします。

・以下のレジストリエントリを作成します。

  • HKLM\Software\Krypton
  • "C:-(initial file location)-XBOX64.exe" , K-Key , data: 8 bytes hex value
  • "C:-winnt-system32-XBOX64.exe" , K-Key , data: 8 byte hex value, different value
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • name: Iamnacho on Irc.MusIrc.com is a Homosexual!
  • data: XBox64.exe
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
  • name: Iamnacho on Irc.MusIrc.com is a Homosexual!
  • data: XBox64.exe
  • ・簡単なユーザ名とパスワードを使用して、ランダムなコンピュータへの接続を試みます。

    ・また、ネットワークに自身をコピーしようします。実際のIT設定にもよりますが、リモートアクセスが拒否されると、レギュラーユーザのアカウントがロックアウトされることがあります。

    ・リモートコントロールやサービス拒否攻撃を目的としてIRCサーバへの接続を試みます。

    TOPへ戻る

    以下の症状が見られる場合、このウイルスに感染している可能性があります。

    ・上記のファイルが存在します。

    ・ユーザアカウントがロックアウトされます。

    ・IRCサーバに接続します。

    TOPへ戻る

    感染方法

    ・W32/Spybot.worm.rpは簡単なユーザ名とパスワードを使用して、ランダムなコンピュータやネットワークコンピュータへの接続を試みます。

    TOPへ戻る

    駆除方法

    ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

    Windows ME/XPでの駆除についての補足

    TOPへ戻る