製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:T
ウイルス情報
ウイルス名危険度
W32/Tzet.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4283
対応定義ファイル
(現在必要とされるバージョン)
4309 (現在7593)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名Worm.Win32.Randon.u (AVP)
情報掲載日03/07/31
発見日(米国日付)03/07/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/20RDN/Generic....
10/20FakeAV-M.bfr...
10/20FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Tzet.wormはIRCベースのワームで、セキュリティが不十分なリモート共有で繁殖します。

・W32/Tzet.wormのコンポーネントのいくつかは、McAfee製品で検出できます。例えば、定義ファイル4253以降を使用すると、トロイの木馬化されたmIRCクライアント(オペレーションのハブを構成)はIRC/Flood.bqとして検出されます。詳細については、以下をご覧ください。

・W32/Tzet.wormは、自己解凍アーカイブで構成されます。実行されると、ターゲットマシンのc:\WINNT\SYSTEM32\に、以下のさまざまなファイルを落とし込みます。

  • IGLXTRAY.EXE(532,992バイト):定義ファイル4253以降でIRC/Flood.bqとして検出される、トロイの木馬化されたmIRCクライアント(オペレーションのハブを構成)
  • IGLMTRAY.EXE(10,752バイト):上記の定義ファイルでW32/Tzet.wormとして検出される、ローダユーティリティ
  • authexec.bat(6,411バイト):上記の定義ファイルでW32/Tzet.wormとして検出される、バッチスクリプト。(単純なパスワード/アカウントの)リモートマシンの共有にアクセス
  • lrss.ini(5,411バイト):上記の定義ファイルでW32/Tzet.wormとして検出される、トロイの木馬化されたIRCスクリプト
  • mdde32.exe(39,424バイト):上記の定義ファイルでapplication PSKillとして検出される、プロセスを終了するアプリケーション
  • nna.exe (1,312 bytes):定義ファイル4262以降で(4.2.40以降のエンジンを使用すると)Downloader-AEとして検出される、トロイの木馬型ダウンローダ
  • printf_core.exe(20,480バイト):上記の定義ファイルでapplication Delshareとして検出される、マシンから共有を削除するアプリケーション
  • vidriv.exe(24,064バイト):定義ファイル4241以降で(4.2.40以降のエンジンを使用すると)application HideWindowとして検出される、実行中のアプリケーションを隠蔽するツール
  • wmpt.exe(52,224バイト): 定義ファイ4252以降でapplication RemoteProcessLaunchとして検出される、リモートプロセスを起動するアプリケーション
  • wsubsys.wav(62,282バイト):上記の定義ファイルでW32/Tzet.wormとして検出される、トロイの木馬化されたIRCスクリプト
  • xcopy.dll(575バイト)

・以下のレジストリキーを作成して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "WUPD" = C:\WINNT\system32\iglmtray.exe

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルが存在します。

・予期せず、リモートサーバへのIRCトラフィックが発生します(宛先ポート番号7648)。

感染方法TOPへ戻る
・W32/Tzet.wormは、バッチファイル、IRCスクリプト、およびトロイの木馬化されたmIRCクライアントを使用して感染し、複数のマシンで繁殖します。

・W32/Tzet.wormがマシンで実行されると、感染をハッカーに通知するためにリモートのIRCサーバにアクセスします。IRCサーバにアクセスすると、IRCを介して以下のような機能を実行するリモートコマンドを受け取ります。

  • リモートマシンに対するDoS(サービス拒否)攻撃の開始
  • さまざまなゲームに関するキー情報の取得
  • ターゲットマシンに関する情報の取得
  • 繁殖の対象となるリモートマシンのスキャン

・W32/Tzet.wormは、セキュリティが不十分な共有で繁殖します。以下のユーザ名とパスワードの組合せを使用して、(AUTHEXEC.BATスクリプトで)リモート共有にアクセスします。
パスワード ユーザ名
(ブランク) Administrador
(ブランク) Administrateur
(ブランク) Administrator
(ブランク) admin
(ブランク) administrador
(ブランク) administrator
(ブランク) administrator
(ブランク) administrator
(ブランク) cs
(ブランク) guest
(ブランク) root
(ブランク) server
(ブランク) test
(ブランク) user
(ブランク) wwwroot
1 Administrator
1 administrator
123 Administrator
123 admin
123 administrator
12345 Administrator
12345 admin
12345 administrator
123456 administrator
54321 administrator
654321 administrator
Admin admin
Administrador administrador
Administrator administrator
abc administrator
abc123 administrator
admin Administrator
admin admin
admin administrator
admin123 administrator
administrador administrador
administrator administrator
asdf administrator
changeme administrator
database database
guest guest
network network
pass administrator
password Administrador
password Administrateur
password Administrator
password administrador
password administrateur
password administrator
password123 administrator
qwerty administrator
qwertyuiop administrator
red123 administrator
root root
secret administrator
server server
sql sql
sqladmin sqladmin
sqlagent sqlagent
student student
teacher teacher
temp administrator
temp123 administrator
test test
test123 administrator
user user
wwwadmin wwwadmin

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足