McAfee for Small Businesses

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

・W32/Zotob.wormはWindowsのシステムディレクトリにbotzor.exeファイルを作成し、起動時にW32/Zotob.worm.bをロードするレジストリRUNキーを作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "WINDOWS SYSTEM" = botzor.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "WINDOWS SYSTEM" = botzor.exe ・さらに、レジストリの改変を行います。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess "Start" = 4 (デフォルトは3) ・ウイルス対策ベンダーのWebサイトへのアクセスを阻止するHOSTSファイルが付加されます。付加されるHOSTSファイルはQHosts-35としてプロアクティブに検出されます。 ・W32/Zotob.wormにはBOT機能が組み込まれています。TCPポート8080上でdiabl0.turkcoders.netに接続し、指定されたチャネルに参加して、さらなる指示の受信待機を行います。 ・以下のコマンドが組み込まれています。 sysinfo（RAM、OS、アップタイム） download（ファイルをダウンロードして実行） remove（W32/Zotob.worm.bを削除）

感染方法	TOPへ戻る
・W32/Zotob.wormは16のスレッドを作成して、感染可能なシステムをスキャンします。ランダムなクラスBのIPアドレスをターゲットにし、SYNパケットをTCPポート445に送信します。脆弱なシステムが見つかると、バッファオーバーフロー、シェルコードをリモートシステムに送信し、FTPスクリプトを作成し（スクリプトのファイル名は2pac.txt）、FTP.EXEを起動して、ソースシステムからW32/Zotob.wormをダウンロードして実行します（TCPポート33333経由でhaha.exeがフェッチされます）。

駆除方法	TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足