ウイルス情報

ウイルス名 危険度

W32/Spybot.worm.gen.p

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4552
対応定義ファイル
(現在必要とされるバージョン)
5115 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Win32.SdBot.aqj (Kaspersky)W32.Spybot.Worm (Symantec)W32/Sdbot.IAZ.worm (Panda Antivirus)WORM_RBOT.ASL (Trend Micro)
情報掲載日 2009/07/15
発見日(米国日付) 2005/08/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Spybot.worm.gen.pは自身のファイルおよびプロセスを隠すルートキットコンポーネントをドロップ(作成)するワームです。ルートキットコンポーネントはNTRootKit-Jという名前で検出されます。

・TCPポート443上でバックドアを開き、IRCサーバに接続して、コマンドの受信待機を行います。W32/Spybot.worm.gen.pが拡散する方法の1つにMS06-040の脆弱性を利用する方法があります。

TOPへ戻る

ウイルスの特徴

-- 2006年9月1日更新 --

・W32/Spybot.worm.genには複数の亜種が存在します。詳細は亜種によって異なります。ウイルス定義ファイル4843は、0xa602476c365e6e2ac37321503b7e66eeというハッシュMD5を含むサンプルをW32/Spybot.worm.gen.oという名前で識別します。それ以前のウイルス定義ファイルでは、W32/Spybot.worm.gen.pという名前で検出していました。

必ずシステムにMS06-040の修正プログラムを適用してください。

----

・W32/Spybot.worm.gen.pはIRCサーバに接続し、以下のコマンドを受信します。必ずコマンドを発行するユーザのログイン/パスワードを検証してから、コマンドに従います。

・実行時、W32/Spybot.worm.gen.pは現在のロケーションから自身を削除し、lsass.exeというファイル名で%Windir%に自身をコピーします。次に、hkey_local_machine\system\currentcontrolset\services\lsassというレジストリ項目を作成して、サービスとして自身を登録します。

  • display name: "Local Security Authority Subsystem Service"
  • description:"Microsoft Path Finder Service Displays Internet Routing Paths."
  • objectname="LocalSystem"
  • imagepath="%WINDIR%\lsass.exe"

・また、NTRootKit-Jという名前で検出されるrdriv.sysファイルを%SYSTEMDIR%にドロップします。hkey_local_machine\system\currentcontrolset\services\rdrivというレジストリ項目を作成して、「rdriv.sys」もサービスとして登録します。

・以下のサービスを無効にします。

  • テルネット
  • セキュリティセンター
  • リモートレジストリ
  • メッセンジャー

・以下のレジストリの改変を行って、Windowsのセキュリティ設定を下げます。

  • hkey_local_machine\software\microsoft\security center
  • firewalldisablenotify="1"
  • antivirusoverride="1"
  • updatesdisablenotify="1"
  • firewalloverride="1"
  • antivirusdisablenotify="1"
  • hkey_local_machine\software\policies\microsoft\windowsfirewall\standardprofile\enablefirewall="0"

・以下のレジストリを使用して、Windows XP Service Pack 2がインストールされないようにします。

hkey_local_machine\software\policies\microsoft\windows\windowsupdate\donotallowxpsp2="1"

・以下のレジストリ項目を使用して、再起動時に非表示の共有が自動的に作成されないようにします。

hkey_local_machine\system\currentcontrolset\services\lanmanworkstation\parameters\autosharewks="0"

・以下のレジストリ項目を使用して、自動アップデートを無効にします。

hkey_local_machine\software\microsoft\windows\currentversion\windowsupdate\autoupdate\auoptions="1"

・TCPポート443上でバックドアを開き、以下のIRCサーバに接続します。

  • bla.girlsontheblock.com

・TCPポート443は通常、httpプロトコルに使用されますが、W32/Spybot.worm.gen.pはIRCに使用します。

・W32/Spybot.worm.gen.pがコマンドを受信すると実行する可能性のある動作は以下のとおりです。

  • 感染したコンピュータの動作中のプロセスおよびスレッドのリストアップ
  • プロセスおよびスレッドの開始、終了、非表示
  • Microsoft Internet Explorerのホームページの改変
  • ローカルWebサーバを開く
  • 指定されたサブネットのIPアドレスのポートスキャンにより、感染可能なターゲットを特定
  • 指定されたポートでバックドアを開く
  • ファイルの転送
  • MIRCを介した繁殖
  • 自身のアップデート
  • 感染したマシンの再起動
  • ARP、DNSキャッシュのフラッシュ
  • ネットワークトラフィックの監視
  • ネットワーク共有を介した作成、削除、拡散
  • AOLインスタントメッセンジャーを介した拡散
  • 指定されたURLからのファイルのダウンロード

・W32/Spybot.worm.gen.pはMS06-040の脆弱性を利用して拡散する可能性があります。

・W32/Spybot.worm.gen.pが受信可能なコマンドは以下のとおりです。

  • login
  • threads
  • logout
  • testdlls
  • version
  • secure
  • unsecure
  • unsec
  • process
  • create
  • nickupdate
  • randnick
  • exploitftpd
  • eftpd
  • sniffer
  • sniff
  • iestart
  • encrypt
  • prefix
  • resolve
  • aimspread
  • currentip
  • stats
  • banner
  • advscan
  • scanall
  • lsascan
  • ntscan
  • wksescan
  • wksoscan
  • flusharp
  • flushdns
  • system
  • r.down
  • r.wget
  • uptime
  • private
  • status

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のレジストリキーが存在します。
  • %WINDIR%\lsass.exe、%SYSTEMDIR%\rdriv.sysが存在します。
  • セキュリティセンターおよびメッセンジャーが自動的に無効に設定されます。
  • ポート443でbla.girlsontheblock.comへのTCP接続が行われます。IRC関連のデータがやりとりされます。

TOPへ戻る

感染方法

・W32/Spybot.worm.gen.pは、AOL Instant Messenger、MIRCチャットクライアント、ネットワーク共有が適切に設定/保護されていない共有を介して、MS06-040の脆弱性を利用して拡散します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る