McAfee for Small Businesses

ウイルス名 危険度 W32/Sdbot.worm!fn 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 5827 対応定義ファイル (現在必要とされるバージョン) 5830　（現在7077) 対応エンジン 5.2.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 AntiVir :Worm/SdBot.26112.1 Kaspersky :Backdoor.Win32.SdBot.lnk Microsoft :Backdoor:Win32/IRCbot VirusBuster :Worm.SdBot.AGYM 情報掲載日 2009/12/16 発見日（米国日付） 2009/12/09 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/15 ZeroAccess!5... 05/15 VBS/LoveLett... 05/15 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7077  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ファイルプロパティ サイズ : 26,112バイト MD5 : AC3B83C1A4EA430FDC6B57B44FD54F0F SHA1 : 78A599E090274AB033468BC7CDD4A638C7D151F1 ・W32/Sdbot.worm!fnはバックグラウンドで動作し、乗っ取ったシステムへのリモートアクセスを可能にします。 ・特徴は以下のとおりです。 安全性の低いユーザ名とパスワードを使用したセキュリティが不十分なネットワーク共有や、ローカルの資格情報でファイルを他のシステムに書き込める、アクセス可能な共有を持つマシンに繁殖します。 複数の共有に自身のコピーを作成して、リモートマシンに繁殖します。 ターゲットマシンへのバックドアを提供し、マシン上のデータを漏洩します（ハッカーはかなりのリモートアクセス機能を利用できます）。 ・実行時、以下の場所に自身のコピーをドロップ（作成）します。 %AppData%\sectray.exe ・以下のスタートアップレジストリ項目を作成します。 [HKEY_CURRENT_USER \S-1-5-21-1454471165-926492609-839522115-500 \Software\Microsoft\Windows\CurrentVersion\Run Windows Network Setup Manager = "%AppData%\sectray.exe" ・sectray.exeはWindowsが起動するたびに動作します。 ・以下のマルウェア解析プラットフォームの有無を確認し、見つかった場合は、W32/Sdbot.worm!fnは動作せず、プロセスが終了されます。 nepenthes vmware sandbox ・システムドライブに以下のファイルを作成します。 autorun.inf usbassistant.exe removeMe%i%i%i%i.bat 以下のリモートサイトに接続しようとします。 http://[削除]-homepage.cn/popup.php http://cn.king.[削除] ・以下はパス変数の既定値です。（異なる場合もありますが、一般的には以下のとおりです。） %AppData%= C:\Documents and Settings\[ユーザ名]\Application Data. 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のファイルおよびレジストリが存在します。 リモートIRCサーバとの通信が行われます。 感染方法 TOPへ戻る ・最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC（インターネットリレーチャット）、ピアツーピアネットワークなどを通じて配布されます。 駆除方法 TOPへ戻る ■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。 Windows ME/XPでの駆除についての補足