McAfee for Small Businesses

ウイルス名 危険度 W32/Spybot.worm.gen.p 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 4552 対応定義ファイル (現在必要とされるバージョン) 5115　（現在7084) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Backdoor.Win32.SdBot.aqj (Kaspersky)W32.Spybot.Worm (Symantec)W32/Sdbot.IAZ.worm (Panda Antivirus)WORM_RBOT.ASL (Trend Micro) 情報掲載日 2009/07/15 発見日（米国日付） 2005/08/08 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る -- 2006年9月1日更新 -- ・W32/Spybot.worm.genには複数の亜種が存在します。詳細は亜種によって異なります。ウイルス定義ファイル4843は、0xa602476c365e6e2ac37321503b7e66eeというハッシュMD5を含むサンプルをW32/Spybot.worm.gen.oという名前で識別します。それ以前のウイルス定義ファイルでは、W32/Spybot.worm.gen.pという名前で検出していました。 ・必ずシステムにMS06-040の修正プログラムを適用してください。 ---- ・W32/Spybot.worm.gen.pはIRCサーバに接続し、以下のコマンドを受信します。必ずコマンドを発行するユーザのログイン／パスワードを検証してから、コマンドに従います。 ・実行時、W32/Spybot.worm.gen.pは現在のロケーションから自身を削除し、lsass.exeというファイル名で%Windir%に自身をコピーします。次に、hkey_local_machine\system\currentcontrolset\services\lsassというレジストリ項目を作成して、サービスとして自身を登録します。 display name: "Local Security Authority Subsystem Service" description:"Microsoft Path Finder Service Displays Internet Routing Paths." objectname="LocalSystem" imagepath="%WINDIR%\lsass.exe" ・また、NTRootKit-Jという名前で検出されるrdriv.sysファイルを%SYSTEMDIR%にドロップします。hkey_local_machine\system\currentcontrolset\services\rdrivというレジストリ項目を作成して、「rdriv.sys」もサービスとして登録します。 ・以下のサービスを無効にします。 テルネット セキュリティセンター リモートレジストリ メッセンジャー ・以下のレジストリの改変を行って、Windowsのセキュリティ設定を下げます。 hkey_local_machine\software\microsoft\security center firewalldisablenotify="1" antivirusoverride="1" updatesdisablenotify="1" firewalloverride="1" antivirusdisablenotify="1" hkey_local_machine\software\policies\microsoft\windowsfirewall\standardprofile\enablefirewall="0" ・以下のレジストリを使用して、Windows XP Service Pack 2がインストールされないようにします。 hkey_local_machine\software\policies\microsoft\windows\windowsupdate\donotallowxpsp2="1" ・以下のレジストリ項目を使用して、再起動時に非表示の共有が自動的に作成されないようにします。 hkey_local_machine\system\currentcontrolset\services\lanmanworkstation\parameters\autosharewks="0" ・以下のレジストリ項目を使用して、自動アップデートを無効にします。 hkey_local_machine\software\microsoft\windows\currentversion\windowsupdate\autoupdate\auoptions="1" ・TCPポート443上でバックドアを開き、以下のIRCサーバに接続します。 bla.girlsontheblock.com ・TCPポート443は通常、httpプロトコルに使用されますが、W32/Spybot.worm.gen.pはIRCに使用します。 ・W32/Spybot.worm.gen.pがコマンドを受信すると実行する可能性のある動作は以下のとおりです。 感染したコンピュータの動作中のプロセスおよびスレッドのリストアップ プロセスおよびスレッドの開始、終了、非表示 Microsoft Internet Explorerのホームページの改変 ローカルWebサーバを開く 指定されたサブネットのIPアドレスのポートスキャンにより、感染可能なターゲットを特定 指定されたポートでバックドアを開く ファイルの転送 MIRCを介した繁殖 自身のアップデート 感染したマシンの再起動 ARP、DNSキャッシュのフラッシュ ネットワークトラフィックの監視 ネットワーク共有を介した作成、削除、拡散 AOLインスタントメッセンジャーを介した拡散 指定されたURLからのファイルのダウンロード ・W32/Spybot.worm.gen.pはMS06-040の脆弱性を利用して拡散する可能性があります。 ・W32/Spybot.worm.gen.pが受信可能なコマンドは以下のとおりです。 login threads logout testdlls version secure unsecure unsec process create nickupdate randnick exploitftpd eftpd sniffer sniff iestart encrypt prefix resolve aimspread currentip stats banner advscan scanall lsascan ntscan wksescan wksoscan flusharp flushdns system r.down r.wget uptime private status 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のレジストリキーが存在します。 %WINDIR%\lsass.exe、%SYSTEMDIR%\rdriv.sysが存在します。 セキュリティセンターおよびメッセンジャーが自動的に無効に設定されます。 ポート443でbla.girlsontheblock.comへのTCP接続が行われます。IRC関連のデータがやりとりされます。 感染方法 TOPへ戻る ・W32/Spybot.worm.gen.pは、AOL Instant Messenger、MIRCチャットクライアント、ネットワーク共有が適切に設定／保護されていない共有を介して、MS06-040の脆弱性を利用して拡散します。 駆除方法 TOPへ戻る ■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足