McAfee for Small Businesses

ウイルス名 危険度 W32/Sdbot.dr!ADA37D45 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 5627 対応定義ファイル (現在必要とされるバージョン) 5629　（現在7080) 対応エンジン 5.3.01以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Spybot.Worm (Symantec)IRCBot.CKA.worm (Panda)Win32.AutoRun.fla (F-Secure)Win32.AutoRun.fla (Kaspersky) 情報掲載日 2009/06/01 発見日（米国日付） 2009/05/25 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/19 RDN/Generic ... 05/19 Generic Down... 05/19 RDN/Download... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・W32/Sdbot.dr!ADA37D45は、Microsoft Windows Server ServiceのMS08-067の脆弱性を利用してネットワーク上の脆弱なシステムに感染し、「autorun.inf」を使用してリムーバブルメディアを介しても拡散するワームです。 ・実行時、以下の場所に自身をコピーして実行します。また、最初に実行したファイルを削除します。 %WinDir%\system\smsc.exe ・また、以下のファイルをドロップ（作成）します。 %WinDir%\system32\drivers\sysdrv32.sys ・上記のファイルは「Generic Rootkit.g」という名前で検出されます。 ・上記の「sysdrv32.sys」ファイルを使って、自身のプロセスがプロセスリストに表示されないようにします。 ・さらに、脆弱なマシンがないか、ネットワークをスキャンし、見つかった場合、ワームのコピーをそのマシンにダウンロードして実行します。 ・システムに接続されているリムーバブルメディアに自身をコピーし、「autorun.inf」を作成して、別のコンピュータに接続されたときに実行されるようにします。 ・以下のレジストリキーが追加されます。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\SVCWINSPOOL HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SVCWINSPOOL HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32\Security ・システムの起動時にW32/Sdbot.dr!ADA37D45をロードするため、以下のレジストリの値が追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "WSSVC" データ: %WinDir%\system\smsc.exe ・Windowsファイアウォールの許可アプリケーションリストにW32/Sdbot.dr!ADA37D45を追加するため、以下のレジストリ値が追加されます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List "C:\WINDOWS\system\smsc.exe" データ: %WinDir%\system\smsc.exe:*:Microsoft Enabled ・また、ペイロードの一部として、以下のレジストリの値を作成します。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\SVCWINSPOOL "(既定)" データ: Service HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SVCWINSPOOL "(既定)" データ: Service HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 "DisplayName" データ: Play Port I/O Driver HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 "ErrorControl" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 "Group" データ: SST wanport drivers HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 "ImagePath" データ: \??\C:\WINDOWS\system32\drivers\sysdrv32.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 "Start" データ: 03, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 "Type" データ: 01, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32\Enum "0" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32\Enum "Count" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32\Enum "NextInstance" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32\Security "Security" 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・システムへの感染時に、W32/Sdbot.dr!ADA37D45はドメイン「b.vspcord.com」（現在オフライン）への接続を試みます。 ・MS08-067の悪用に対して脆弱なシステムでTCPポート445のローカルサブネットをスキャンし、感染を試みます。脆弱性が利用されると、W32/Sdbot.dr!ADA37D45は自身をターゲットマシンにコピーして感染しようとします。 ・W32/Sdbot.dr!ADA37D45に感染したマシンのIPアドレスが192.168.1.91である場合、W32/Sdbot.dr!ADA37D45は、192.168.xxx.xxxの範囲でマシンをランダムにスキャンして感染を試みます。また、ファイル「tcpip.sys」を変更して、感染したマシンで設定可能なTCP接続の最大同時試行数の制限を解除します。 ・W32/Sdbot.dr!ADA37D45を制御する攻撃者は以下のコマンドを実行可能です。 s.start s.stop open http Wget ・攻撃者は上記のコマンドを使用して、脆弱性スキャニングプロセスの開始と停止、インターネットからのさらなるマルウェアのダウンロードが可能となります。 感染方法 TOPへ戻る ・W32/Sdbot.dr!ADA37D45はリムーバブルメディアに自身と「autorun.inf」をコピーして拡散します。テスト時、リムーバブルメディアへの自身のコピー中にファイル「p.exe」を利用していました。 ・「autorun.inf」に格納されている内容は以下のとおりです。 [autorun] shellexecute=p.exe action=Open folder to view files shell\default=Open shell\default\command=p.exe shell=default 駆除方法 TOPへ戻る ■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。 Windows ME/XPでの駆除についての補足