製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:W
ウイルス情報
ウイルス名危険度
W32/Warpi.worm.b
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4277 (現在7544)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.HLLW.Warpigs.b (Symantec):W32/Warpi.worm.gen
情報掲載日03/07/16
発見日(米国日付)03/07/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/30FakeAV-M.bfr...
08/30Generic.tfr!...
08/30PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Warpi.worm.bはIRC botおよびネットワーク共有ジャンプ型ワームです。IRC-Sdbotトロイの木馬をベースにしています。W32/Warpi.worm.bは辞書攻撃を仕掛けて、リモートシステムのADMIN$共有にアクセスし、自身をコピーして実行しようとします。W32/Warpi.worm.bはリモートシステムへ許可する(セキュリティ上)弱いパスワードのリストを持っています。ただし、現在のユーザ認証では、W32/Warpi.worm.bはこのような弱いパスワードを利用しなくても十分機能します。

・実行されると、W32/Warpi.worm.bは WINDOWS SYSTEM (%SysDir%) ディレクトリに winupdate.exeのファイル名で自身をコピーし、以下のレジストリ実行キーを作成してシステムの起動時に自身を読み込みます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Runonce "windowsupdate" = winupdate.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "windowsupdate" = winupdate.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon "Shell" = explorer.exe winupdate.exe

注:Win9xシステムでは、この最後のキーはレジストリファイルではなくSYSTEM.INIファイルにあります。以下のレジストリキーも追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsupdate "windowupdate"

・W32/Warpi.worm.bはIRC server irc.x.lu.tcに接続し、特定のチャネルに参加して詳細な指示を待ちます。リモートユーザはボットに指示して以下の機能を実行します。

  • システム情報の取得:CPU、RAM、ディスクスペース、使用可能時間、オンライン時間、ユーザ名、ホスト名
  • 実行プロセスのリストおよび終了
  • キャッシュされたパスワードの取得
  • システムのリブート
  • ファイルのダウンロードおよび実行
  • ファイルのリスト/削除/名前変更
  • ディレクトリの作成
  • サービス拒否攻撃を仕掛ける
  • ボットの更新(update.x.lu.tcからダウンロード)

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・windowsupdate.exeおよびpqonwe.exeファイルが存在します。

・予期せず、TCPポート6667でトラフィックが発生します。

感染方法TOPへ戻る
・W32/Warpi.worm.bはデフォルトの管理共有ADMIN$を介して繁殖します。W32/Warpi.worm.bは以下の弱いパスワードでアクセスしようとします。
  • 0
  • 00
  • 000
  • 0000
  • 00000
  • 000000
  • 007
  • 0wn3d
  • 0wned
  • 1
  • 110
  • 111
  • 111111
  • 11111111
  • 12
  • 121212
  • 123
  • 123123
  • 1234
  • 12345
  • 123456
  • 1234567
  • 12345678
  • 123456789
  • 1234qwer
  • 123abc
  • 123asd
  • 123qwe
  • 2002
  • 2003
  • 2600
  • 54321
  • 654321
  • 88888888
  • a
  • aaa
  • abc
  • abc123
  • abcd
  • ACCESS
  • ADMIN
  • admin
  • admin123
  • Administrador
  • administrador
  • administrator
  • Administrator
  • ADMINISTRATOR
  • alpha
  • asdf
  • BACKUP
  • bla
  • BOTH
  • Changeme
  • changeme
  • computer
  • crash
  • database
  • death
  • DEMO
  • devil
  • edu
  • enable
  • FILES
  • foobar
  • fubar
  • fu--ed (censored)
  • FULL
  • gobo
  • god
  • godblessyou
  • guessme
  • GUEST
  • hacker
  • hax0r
  • heaven
  • home
  • ihavenopass
  • Internet
  • irule
  • kiddie
  • killer
  • l337
  • l33t
  • leet
  • linux
  • LOCAL
  • login
  • love
  • Mat
  • Matt
  • Matthew
  • mirc
  • mypass
  • mypass123
  • mypc
  • mypc123
  • mysqladmin
  • netdevil
  • net-devil
  • netfuck
  • Nilez
  • oracle
  • owned
  • Owner
  • OWNER
  • pass
  • passwd
  • PASSWORD
  • pat
  • patrick
  • pc
  • pepsi
  • pw
  • pw123
  • pwd
  • qwer
  • READ
  • root
  • ROOT
  • satan
  • satanic
  • satanik
  • script
  • scriptkiddie
  • secret
  • SERVER
  • server
  • sex
  • SHARE
  • spaceman
  • sql
  • sqladmin
  • super
  • sybase
  • SYSTEM
  • TEMP
  • temp123
  • TEST
  • test123
  • testing
  • unix
  • USER
  • uwontguessme
  • w00t
  • win
  • WRITE
  • x
  • xp
  • xx
  • xxx
  • xxxx
  • xxxxx
  • xxxxxx
  • xxxxxxx
  • xxxxxxxx
  • xxxxxxxxx
  • youwontguessme
  • yxcv
  • zxcv

・W32/Warpi.worm.bのコピーはリモートシステムに保存されます。RemoteProcessLaunchアプリケーションの落とし込まれたコピー(pqonwe.exe)がファイルをリモート実行するために使用されます。リモートシステムでW32/Warpi.worm.bを実行するように、タスクをスケジュールします。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足