|
|
ウイルス情報| 種別 | ウイルス | 最小定義ファイル
(最初に検出を確認したバージョン) | 4283 | 対応定義ファイル
(現在必要とされるバージョン) | 4309 (現在7083) | | 対応エンジン | 4.1.60以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Worm.Win32.Randon.u (AVP) | | 情報掲載日 | 03/07/31 | | 発見日(米国日付) | 03/07/28 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| ウイルスの特徴 | TOPに戻る | |
・W32/Tzet.wormはIRCベースのワームで、セキュリティが不十分なリモート共有で繁殖します。
・W32/Tzet.wormのコンポーネントのいくつかは、McAfee製品で検出できます。例えば、定義ファイル4253以降を使用すると、トロイの木馬化されたmIRCクライアント(オペレーションのハブを構成)はIRC/Flood.bqとして検出されます。詳細については、以下をご覧ください。
・W32/Tzet.wormは、自己解凍アーカイブで構成されます。実行されると、ターゲットマシンのc:\WINNT\SYSTEM32\に、以下のさまざまなファイルを落とし込みます。
- IGLXTRAY.EXE(532,992バイト):定義ファイル4253以降でIRC/Flood.bqとして検出される、トロイの木馬化されたmIRCクライアント(オペレーションのハブを構成)
- IGLMTRAY.EXE(10,752バイト):上記の定義ファイルでW32/Tzet.wormとして検出される、ローダユーティリティ
- authexec.bat(6,411バイト):上記の定義ファイルでW32/Tzet.wormとして検出される、バッチスクリプト。(単純なパスワード/アカウントの)リモートマシンの共有にアクセス
- lrss.ini(5,411バイト):上記の定義ファイルでW32/Tzet.wormとして検出される、トロイの木馬化されたIRCスクリプト
- mdde32.exe(39,424バイト):上記の定義ファイルでapplication PSKillとして検出される、プロセスを終了するアプリケーション
- nna.exe (1,312 bytes):定義ファイル4262以降で(4.2.40以降のエンジンを使用すると)Downloader-AEとして検出される、トロイの木馬型ダウンローダ
- printf_core.exe(20,480バイト):上記の定義ファイルでapplication Delshareとして検出される、マシンから共有を削除するアプリケーション
- vidriv.exe(24,064バイト):定義ファイル4241以降で(4.2.40以降のエンジンを使用すると)application HideWindowとして検出される、実行中のアプリケーションを隠蔽するツール
- wmpt.exe(52,224バイト): 定義ファイ4252以降でapplication RemoteProcessLaunchとして検出される、リモートプロセスを起動するアプリケーション
- wsubsys.wav(62,282バイト):上記の定義ファイルでW32/Tzet.wormとして検出される、トロイの木馬化されたIRCスクリプト
- xcopy.dll(575バイト)
・以下のレジストリキーを作成して、システムの起動をフックします。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WUPD" = C:\WINNT\system32\iglmtray.exe
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る | |
・上記のファイルが存在します。
・予期せず、リモートサーバへのIRCトラフィックが発生します(宛先ポート番号7648)。
|
|
| 感染方法 | TOPへ戻る | |
・W32/Tzet.wormは、バッチファイル、IRCスクリプト、およびトロイの木馬化されたmIRCクライアントを使用して感染し、複数のマシンで繁殖します。
・W32/Tzet.wormがマシンで実行されると、感染をハッカーに通知するためにリモートのIRCサーバにアクセスします。IRCサーバにアクセスすると、IRCを介して以下のような機能を実行するリモートコマンドを受け取ります。
- リモートマシンに対するDoS(サービス拒否)攻撃の開始
- さまざまなゲームに関するキー情報の取得
- ターゲットマシンに関する情報の取得
- 繁殖の対象となるリモートマシンのスキャン
・W32/Tzet.wormは、セキュリティが不十分な共有で繁殖します。以下のユーザ名とパスワードの組合せを使用して、(AUTHEXEC.BATスクリプトで)リモート共有にアクセスします。
| パスワード |
ユーザ名 |
| (ブランク) |
Administrador |
| (ブランク) |
Administrateur |
| (ブランク) |
Administrator |
| (ブランク) |
admin |
| (ブランク) |
administrador |
| (ブランク) |
administrator |
| (ブランク) |
administrator |
| (ブランク) |
administrator |
| (ブランク) |
cs |
| (ブランク) |
guest |
| (ブランク) |
root |
| (ブランク) |
server |
| (ブランク) |
test |
| (ブランク) |
user |
| (ブランク) |
wwwroot |
| 1 |
Administrator |
| 1 |
administrator |
| 123 |
Administrator |
| 123 |
admin |
| 123 |
administrator |
| 12345 |
Administrator |
| 12345 |
admin |
| 12345 |
administrator |
| 123456 |
administrator |
| 54321 |
administrator |
| 654321 |
administrator |
| Admin |
admin |
| Administrador |
administrador |
| Administrator |
administrator |
| abc |
administrator |
| abc123 |
administrator |
| admin |
Administrator |
| admin |
admin |
| admin |
administrator |
| admin123 |
administrator |
| administrador |
administrador |
| administrator |
administrator |
| asdf |
administrator |
| changeme |
administrator |
| database |
database |
| guest |
guest |
| network |
network |
| pass |
administrator |
| password |
Administrador |
| password |
Administrateur |
| password |
Administrator |
| password |
administrador |
| password |
administrateur |
| password |
administrator |
| password123 |
administrator |
| qwerty |
administrator |
| qwertyuiop |
administrator |
| red123 |
administrator |
| root |
root |
| secret |
administrator |
| server |
server |
| sql |
sql |
| sqladmin |
sqladmin |
| sqlagent |
sqlagent |
| student |
student |
| teacher |
teacher |
| temp |
administrator |
| temp123 |
administrator |
| test |
test |
| test123 |
administrator |
| user |
user |
| wwwadmin |
wwwadmin |
|
|
|
|
|  |
