製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:W
ウイルス情報
ウイルス名危険度
W32/Witty.worm
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4342
対応定義ファイル
(現在必要とされるバージョン)
4371 (現在7514)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名一部のBlackIce製品の脆弱性を悪用して感染
情報掲載日04/03/22
発見日(米国日付)04/03/20
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/28RDN/Download...
07/28Generic.dx!0...
07/28Generic Down...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7514
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

- 2004年3月18日 太平洋標準時間 04:25 更新情報

・W32/Witty.wormはメディアの関心を集めたので 、危険度を“低〔要注意〕”にしました。

脆弱なBlackIce製品を使用しないユーザは、W32/Witty.wormに感染することはありません。

・W32/Witty.wormはネットワークワームで、BlackIce製品のISS/PAM ICQモジュールの脆弱性(ISS advisoryを参照)を悪用します。

・感染システムを再起動すると、W32/Witty.wormはメモリから削除され、システムの起動時に再び読み込まれることはありません。ただし、最新のバージョンに更新しない、またはシステムから削除せずに脆弱なBlackIce製品を使用すると、再感染する可能性があります。

・W32/Witty.wormはネットワークトラフィックを介してのみ繁殖します。電子メールを送信したり、マシンにファイルをドロップ(作成)したりすることはありません。ユーザが何かをクリックしなくても感染し、感染プロセスは全く見えません。

注:W32/Witty.wormは、ターゲットマシンにファイルをドロップ(作成)しないので、定義ファイル4340以降ではマシンの感染時にメモリでW32/Witty.wormが実行されると検出します。

・悪質なパケットが脆弱なマシンに送信されると、W32/Witty.wormがメモリで実行されて、新たなターゲットマシンから繁殖を開始します。

・W32/Witty.wormは、まずUDPポート4000からランダムなIPアドレスとポートに20,000パケットを送信します。次に、ハードドライブのランダムな場所に悪用するDLLファイル(64Kバイト)を書き込みます。その後繁殖を再開して、繁殖を繰り返します。

・ディスクのランダムな場所に65Kバイトのファイルを書き込むという発病ルーチンによって、ファイルを破壊します。マシンの感染時間に応じて、ハードドライブの損傷部分も大きくなります。AVERTのテストでは、10分間感染したシステムは、システムファイルが損傷したために再起動できませんでした。

・損傷したファイルは上書きされているので、駆除できません。バックアップによる交換が必要です。

・バージョンBlackIce 3.6.ccfは、W32/Witty.wormに感染します。ただし、3.5以前のバージョンおよび最新バージョン(BlackIce 3.6.ccg)は感染しません。

・BlackIce製品のパッチは、http://blackice.iss.net/update_center/index.phpで入手してください。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・UDPポート4000からランダムなIPアドレスに対する送信ネットワークトラフィックが存在します。

・ディスクに破壊されたファイルが存在します。

・システムの反応が非常に遅くなります。

・BLACKD.EXEファイルがCPUの約99%を使用します。

・システムが不安定になる、または起動できません。

感染方法TOPへ戻る

・W32/Witty.wormは、一部のBlackIce製品の脆弱性を悪用して感染します。