ウイルス情報

ウイルス名 危険度

W32/Witty.worm

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4342
対応定義ファイル
(現在必要とされるバージョン)
4371 (現在7656)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名 一部のBlackIce製品の脆弱性を悪用して感染
情報掲載日 04/03/22
発見日(米国日付) 04/03/20
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

- 2004年3月18日 太平洋標準時間 04:25 更新情報

・W32/Witty.wormはメディアの関心を集めたので 、危険度を“低〔要注意〕”にしました。

脆弱なBlackIce製品を使用しないユーザは、W32/Witty.wormに感染することはありません。

・W32/Witty.wormはネットワークワームで、BlackIce製品のISS/PAM ICQモジュールの脆弱性(ISS advisoryを参照)を悪用します。

・感染システムを再起動すると、W32/Witty.wormはメモリから削除され、システムの起動時に再び読み込まれることはありません。ただし、最新のバージョンに更新しない、またはシステムから削除せずに脆弱なBlackIce製品を使用すると、再感染する可能性があります。

・W32/Witty.wormはネットワークトラフィックを介してのみ繁殖します。電子メールを送信したり、マシンにファイルをドロップ(作成)したりすることはありません。ユーザが何かをクリックしなくても感染し、感染プロセスは全く見えません。

注:W32/Witty.wormは、ターゲットマシンにファイルをドロップ(作成)しないので、定義ファイル4340以降ではマシンの感染時にメモリでW32/Witty.wormが実行されると検出します。

・悪質なパケットが脆弱なマシンに送信されると、W32/Witty.wormがメモリで実行されて、新たなターゲットマシンから繁殖を開始します。

・W32/Witty.wormは、まずUDPポート4000からランダムなIPアドレスとポートに20,000パケットを送信します。次に、ハードドライブのランダムな場所に悪用するDLLファイル(64Kバイト)を書き込みます。その後繁殖を再開して、繁殖を繰り返します。

・ディスクのランダムな場所に65Kバイトのファイルを書き込むという発病ルーチンによって、ファイルを破壊します。マシンの感染時間に応じて、ハードドライブの損傷部分も大きくなります。AVERTのテストでは、10分間感染したシステムは、システムファイルが損傷したために再起動できませんでした。

・損傷したファイルは上書きされているので、駆除できません。バックアップによる交換が必要です。

・バージョンBlackIce 3.6.ccfは、W32/Witty.wormに感染します。ただし、3.5以前のバージョンおよび最新バージョン(BlackIce 3.6.ccg)は感染しません。

・BlackIce製品のパッチは、http://blackice.iss.net/update_center/index.phpで入手してください。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・UDPポート4000からランダムなIPアドレスに対する送信ネットワークトラフィックが存在します。

・ディスクに破壊されたファイルが存在します。

・システムの反応が非常に遅くなります。

・BLACKD.EXEファイルがCPUの約99%を使用します。

・システムが不安定になる、または起動できません。

TOPへ戻る

感染方法

・W32/Witty.wormは、一部のBlackIce製品の脆弱性を悪用して感染します。

TOPへ戻る