製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Spybot.worm.gen.p
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4552
対応定義ファイル
(現在必要とされるバージョン)
5115 (現在7600)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Backdoor.Win32.SdBot.aqj (Kaspersky)W32.Spybot.Worm (Symantec)W32/Sdbot.IAZ.worm (Panda Antivirus)WORM_RBOT.ASL (Trend Micro)
情報掲載日2009/07/15
発見日(米国日付)2005/08/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Spybot.worm.gen.pは自身のファイルおよびプロセスを隠すルートキットコンポーネントをドロップ(作成)するワームです。ルートキットコンポーネントはNTRootKit-Jという名前で検出されます。

・TCPポート443上でバックドアを開き、IRCサーバに接続して、コマンドの受信待機を行います。W32/Spybot.worm.gen.pが拡散する方法の1つにMS06-040の脆弱性を利用する方法があります。

ウイルスの特徴TOPに戻る
-- 2006年9月1日更新 --

・W32/Spybot.worm.genには複数の亜種が存在します。詳細は亜種によって異なります。ウイルス定義ファイル4843は、0xa602476c365e6e2ac37321503b7e66eeというハッシュMD5を含むサンプルをW32/Spybot.worm.gen.oという名前で識別します。それ以前のウイルス定義ファイルでは、W32/Spybot.worm.gen.pという名前で検出していました。

必ずシステムにMS06-040の修正プログラムを適用してください。

----

・W32/Spybot.worm.gen.pはIRCサーバに接続し、以下のコマンドを受信します。必ずコマンドを発行するユーザのログイン/パスワードを検証してから、コマンドに従います。

・実行時、W32/Spybot.worm.gen.pは現在のロケーションから自身を削除し、lsass.exeというファイル名で%Windir%に自身をコピーします。次に、hkey_local_machine\system\currentcontrolset\services\lsassというレジストリ項目を作成して、サービスとして自身を登録します。

  • display name: "Local Security Authority Subsystem Service"
  • description:"Microsoft Path Finder Service Displays Internet Routing Paths."
  • objectname="LocalSystem"
  • imagepath="%WINDIR%\lsass.exe"

・また、NTRootKit-Jという名前で検出されるrdriv.sysファイルを%SYSTEMDIR%にドロップします。hkey_local_machine\system\currentcontrolset\services\rdrivというレジストリ項目を作成して、「rdriv.sys」もサービスとして登録します。

・以下のサービスを無効にします。

  • テルネット
  • セキュリティセンター
  • リモートレジストリ
  • メッセンジャー

・以下のレジストリの改変を行って、Windowsのセキュリティ設定を下げます。

  • hkey_local_machine\software\microsoft\security center
  • firewalldisablenotify="1"
  • antivirusoverride="1"
  • updatesdisablenotify="1"
  • firewalloverride="1"
  • antivirusdisablenotify="1"
  • hkey_local_machine\software\policies\microsoft\windowsfirewall\standardprofile\enablefirewall="0"

・以下のレジストリを使用して、Windows XP Service Pack 2がインストールされないようにします。

hkey_local_machine\software\policies\microsoft\windows\windowsupdate\donotallowxpsp2="1"

・以下のレジストリ項目を使用して、再起動時に非表示の共有が自動的に作成されないようにします。

hkey_local_machine\system\currentcontrolset\services\lanmanworkstation\parameters\autosharewks="0"

・以下のレジストリ項目を使用して、自動アップデートを無効にします。

hkey_local_machine\software\microsoft\windows\currentversion\windowsupdate\autoupdate\auoptions="1"

・TCPポート443上でバックドアを開き、以下のIRCサーバに接続します。

  • bla.girlsontheblock.com

・TCPポート443は通常、httpプロトコルに使用されますが、W32/Spybot.worm.gen.pはIRCに使用します。

・W32/Spybot.worm.gen.pがコマンドを受信すると実行する可能性のある動作は以下のとおりです。

  • 感染したコンピュータの動作中のプロセスおよびスレッドのリストアップ
  • プロセスおよびスレッドの開始、終了、非表示
  • Microsoft Internet Explorerのホームページの改変
  • ローカルWebサーバを開く
  • 指定されたサブネットのIPアドレスのポートスキャンにより、感染可能なターゲットを特定
  • 指定されたポートでバックドアを開く
  • ファイルの転送
  • MIRCを介した繁殖
  • 自身のアップデート
  • 感染したマシンの再起動
  • ARP、DNSキャッシュのフラッシュ
  • ネットワークトラフィックの監視
  • ネットワーク共有を介した作成、削除、拡散
  • AOLインスタントメッセンジャーを介した拡散
  • 指定されたURLからのファイルのダウンロード

・W32/Spybot.worm.gen.pはMS06-040の脆弱性を利用して拡散する可能性があります。

・W32/Spybot.worm.gen.pが受信可能なコマンドは以下のとおりです。

  • login
  • threads
  • logout
  • testdlls
  • version
  • secure
  • unsecure
  • unsec
  • process
  • create
  • nickupdate
  • randnick
  • exploitftpd
  • eftpd
  • sniffer
  • sniff
  • iestart
  • encrypt
  • prefix
  • resolve
  • aimspread
  • currentip
  • stats
  • banner
  • advscan
  • scanall
  • lsascan
  • ntscan
  • wksescan
  • wksoscan
  • flusharp
  • flushdns
  • system
  • r.down
  • r.wget
  • uptime
  • private
  • status

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のレジストリキーが存在します。
  • %WINDIR%\lsass.exe、%SYSTEMDIR%\rdriv.sysが存在します。
  • セキュリティセンターおよびメッセンジャーが自動的に無効に設定されます。
  • ポート443でbla.girlsontheblock.comへのTCP接続が行われます。IRC関連のデータがやりとりされます。

感染方法TOPへ戻る

・W32/Spybot.worm.gen.pは、AOL Instant Messenger、MIRCチャットクライアント、ネットワーク共有が適切に設定/保護されていない共有を介して、MS06-040の脆弱性を利用して拡散します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足