W32/Warpi.worm.b | ウイルス情報

製品情報

導入事例

-	最新ウイルス一覧
-	ウイルス検索
-	駆除ツール
-	主要ウイルスナビゲータ
-	Daily DATリリースに関するFAQ
-	ウイルス絵とき理解
-	ウイルス画像事典
-	ウイルス解析依頼
-	ウイルス用語集
-	ウイルスの危険度格付け
-	セキュリティ対策のヒント
-	無料セキュリティ情報サービス

Home → セキュリティ情報 → ウイルス情報：W

ウイルス情報

ウイルス名

危険度

W32/Warpi.worm.b

企業ユーザ: 低
個人ユーザ: 低

種別	ウイルス
最小定義ファイル (最初に検出を確認したバージョン)
対応定義ファイル (現在必要とされるバージョン)	4277　（現在7084)
対応エンジン	4.1.60以降　(現在5.4.00)　エンジンバージョンの見分け方
別名	W32.HLLW.Warpigs.b (Symantec):W32/Warpi.worm.gen
情報掲載日	03/07/16
発見日（米国日付）	03/07/14
駆除補足	ウイルス駆除のヒント


	最新ウイルス

05/22	W32/Virut.ge...
05/22	W32/Duel!962...
05/22	W32/Duel!EC1...

		定義ファイル・エンジンのダウンロード!
	定義ファイル：7084 エンジン：5.4.00

		ウイルス検索

ウイルスの特徴

TOPに戻る

・W32/Warpi.worm.bはIRC botおよびネットワーク共有ジャンプ型ワームです。IRC-Sdbotトロイの木馬をベースにしています。W32/Warpi.worm.bは辞書攻撃を仕掛けて、リモートシステムのADMIN$共有にアクセスし、自身をコピーして実行しようとします。W32/Warpi.worm.bはリモートシステムへ許可する（セキュリティ上）弱いパスワードのリストを持っています。ただし、現在のユーザ認証では、W32/Warpi.worm.bはこのような弱いパスワードを利用しなくても十分機能します。

・実行されると、W32/Warpi.worm.bは WINDOWS SYSTEM (%SysDir%) ディレクトリに winupdate.exeのファイル名で自身をコピーし、以下のレジストリ実行キーを作成してシステムの起動時に自身を読み込みます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Runonce "windowsupdate" = winupdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windowsupdate" = winupdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon "Shell" = explorer.exe winupdate.exe

注：Win9xシステムでは、この最後のキーはレジストリファイルではなくSYSTEM.INIファイルにあります。以下のレジストリキーも追加されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsupdate "windowupdate"

・W32/Warpi.worm.bはIRC server irc.x.lu.tcに接続し、特定のチャネルに参加して詳細な指示を待ちます。リモートユーザはボットに指示して以下の機能を実行します。

システム情報の取得：CPU、RAM、ディスクスペース、使用可能時間、オンライン時間、ユーザ名、ホスト名
実行プロセスのリストおよび終了
キャッシュされたパスワードの取得
システムのリブート
ファイルのダウンロードおよび実行
ファイルのリスト/削除/名前変更
ディレクトリの作成
サービス拒否攻撃を仕掛ける
ボットの更新（update.x.lu.tcからダウンロード）

以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る

・windowsupdate.exeおよびpqonwe.exeファイルが存在します。
・予期せず、TCPポート6667でトラフィックが発生します。

感染方法 TOPへ戻る
・W32/Warpi.worm.bはデフォルトの管理共有ADMIN$を介して繁殖します。W32/Warpi.worm.bは以下の弱いパスワードでアクセスしようとします。

0

00

000

0000

00000

000000

007

0wn3d

0wned

1

110

111

111111

11111111

12

121212

123

123123

1234

12345

123456

1234567

12345678

123456789

1234qwer

123abc

123asd

123qwe

2002

2003

2600

54321

654321

88888888

a

aaa

abc

abc123

abcd

ACCESS

ADMIN

admin

admin123

Administrador

administrador

administrator

Administrator

ADMINISTRATOR

alpha

asdf

BACKUP

bla

BOTH

Changeme

changeme

computer

crash

database

death

DEMO

devil

edu

enable

FILES

foobar

fubar

fu--ed (censored)

FULL

gobo

god

godblessyou

guessme

GUEST

hacker

hax0r

heaven

home

ihavenopass

Internet

irule

kiddie

killer

l337

l33t

leet

linux

LOCAL

login

love

Mat

Matt

Matthew

mirc

mypass

mypass123

mypc

mypc123

mysqladmin

netdevil

net-devil

netfuck

Nilez

oracle

owned

Owner

OWNER

pass

passwd

PASSWORD

pat

patrick

pc

pepsi

pw

pw123

pwd

qwer

READ

root

ROOT

satan

satanic

satanik

script

scriptkiddie

secret

SERVER

server

sex

SHARE

spaceman

sql

sqladmin

super

sybase

SYSTEM

TEMP

temp123

TEST

test123

testing

unix

USER

uwontguessme

w00t

win

WRITE

x

xp

xx

xxx

xxxx

xxxxx

xxxxxx

xxxxxxx

xxxxxxxx

xxxxxxxxx

youwontguessme

yxcv

zxcv

・W32/Warpi.worm.bのコピーはリモートシステムに保存されます。RemoteProcessLaunchアプリケーションの落とし込まれたコピー（pqonwe.exe）がファイルをリモート実行するために使用されます。リモートシステムでW32/Warpi.worm.bを実行するように、タスクをスケジュールします。

駆除方法 TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。
Windows ME/XPでの駆除についての補足

McAfee for Small Businesses

Navigation

Utility Navigation

Footer