W32.Titog.Worm

危険度 1: ほとんど影響なし

ドキュメントを印刷する

発見日: 2002 年 12 月 17 日

更新日: 2007 年 2 月 13 日 12:04:23 PM

別名: W32/Titog.worm [Mcafee]

種別: ワーム

感染サイズ: 25,488バイト

影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

W32.Titog.Wormが実行されると、次のことを行います。

自分自身を次のファイル名でコピーします。

%system%\Gotit.exe
%mirc%\Aim.exe

注意:

%system%は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。標準では、このフォルダはC:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000)またはC:\Windows\System32 (Windows XP)です。
%mirc%は可変です。このワームはMircのインストール先フォルダを探し出し、その場所に自分自身をコピーします。

このワームは%system%\GotITFolderフォルダを作成し、そのフォルダにランダムに選択したファイル名を使って自分自身のコピーを多数作成します。

ワームは次の値を

Command %system%\Gotit.exe

次のレジストリキーに追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

その結果、Windowsの起動時に必ずこのワームが実行されるようになります。

ワームはmIRCフォルダにScirptoz.iniを作成します。このファイルは自分自身をAim.exeとして送信するために使用されます。このファイルはシマンテックのウイルス対策製品ではIRC Trojanとして検出されます。

ワームはMicrosoft Outlookのアドレス帳に登録されているすべてのメールアドレスにメールを送信します。そのメールには次の特徴があります。

件名: Re: tiny videos
本文: Here is one
添付ファイル名: MVC_546645.mpeg.pif

次に、ワームはあるWebサイトから幾つかの実行形式ファイルをダウンロードしようとします。

ワームは次のファイルを削除しようとします。

_Avpcc.exe
_Avpm.exe
Ackwin32.exe
Ackwin32.exe
Agentsvr.exe
Ahnsd.exe
Alogserv.exe
Alogserv.exe
Amon9x.exe
Anti-Trojan.exe
Antivirus.exe
Ants.exe
Apimonitor.exe
Aplica32.exe
Apvxdwin.exe
Apvxdwin.exe
Atcon.exe
Atcon.exe
Atguard.exe
Atupdater.exe
Atwatch.exe
Atwatch.exe
Autodown.exe
Autotrace.exe
Avconsol.exe
Avconsol.exe
Avconsol.exe
Avgcc32.exe
Avgctrl.exe
Avgctrl.exe
Avgctrl.exe
Avgserv.exe
Avgserv9.exe
Avgserv9.exe
Avgserv9.exe
Avgserv9schedapp.exe
Avgw.exe
Avkpop.exe
Avkserv.exe
Avkserv.exe
Avkservice.exe
Avkservice.exe
Avkwcl9.exe
Avkwctl9.exe
Avp.exe
Avp32.exe
Avp32.exe
Avpcc.exe
Avpcc.exe
Avpexec.exe
Avpinst.exe
Avpm.exe
Avpm.exe
Avrescue.exe
Avsynmgr.exe
Avsynmgr.exe
Avwinnt.exe
Avxmonitor9x.exe
Avxmonitornt.exe
Avxquar.exe
Avxw.exe
Bd_Professional.exe
Bidef.exe
Bidserver.exe
Bipcp.exe
Bisp.exe
Blackd.exe
Blackice.exe
Bootwarn.exe
Borg2.exe
Bs120.exe
Cdp.exe
Cdp.exe
Cfiadmin.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Clean.exe
Cleaner.exe
Cleaner3.exe
Cleanpc.exe
Cmgrdian.exe
Cmgrdian.exe
Cmgrdian.exe
Cmon016.exe
Connectionmonitor.exe
Cpf9x206.exe
Defscangui.exe
Defwatch.exe
Deputy.exe
Doors.exe
Dpf.exe
Drwatson.exe
Drweb32.exe
Efpeadm.exe
Escanh95.exe
Escanhnt.exe
Escanv95.exe
Etrustcipe.exe
Evpn.exe
Exantivirus-Cnet.exe
Expert.exe
F-Agnt95.exe
Fameh32.exe
Fast.exe
Fch32.exe
Fih32.exe
Firewall.exe
Fix-It.exe
Flowprotector.exe
Fnrb32.exe
F-Prot.exe
F-Prot95.exe
Fp-Win.exe
Fp-Win_Trial.exe
Frw.exe
Fsaa.exe
Fsav32.exe
Fsav32.exe
Fsav95.exe
Fsave32.exe
Fsgk32.exe
Fsm32.exe
Fsma32.exe
Fsmb32.exe
F-Stopw.exe
F-Stopw.exe
Fwenc.exe
Gbmenu.exe
Gbpoll.exe
Gbpoll.exe
Generics.exe
Guard.exe
Guard.exe
Guarddog.exe
Ifw2000.exe
Iomon98.exe
Iparmor.exe
Iris.exe
Jammer.exe
Jammer.exe
Ldpromenu.exe
Ldscan.exe
Localnet.exe
Lockdown.exe
Lockdown.exe
Lockdown2000.exe
Lockdown2000.exe
Mcagent.exe
Mcshield.exe
Mcshieldvvstat.exe
Mctool.exe
Mcvsrte.exe
Mcvsshld.exe
Mgavrtcl.exe
Mgavrte.exe
Mgui.exe
Minilog.exe
Minilog.exe
Monitor.exe
Monsys32.exe
Monsys32.exe
Monsysnt.exe
Monsysnt.exe
Mrflux.exe
Msinfo32.exe
Mxtask.exe
Navapw32.exe
Navapw32.exe
Navdx.exe
Navdx.exe
Navrunr.exe
Navstub.exe
Navw32.exe
Nc2000.exe
Neomonitor.exe
Neowatchlog.exe
Netarmor.exe
Netinfo.exe
Netmon.exe
Netscanpro.exe
Netspyhunter-1.2.exe
Netstat.exe
Netutils.exe
Nisserv.exe
Nisserv.exe
Nisum.exe
Nmain.exe
Nmain.exe
Npfmessenger.exe
Nprotect.exe
Npssvc.exe
Ntvdm.exe
Ntvdm.exe
Ntxconfig.exe
Nui.exe
Nvarch16.exe
Nwservice.exe
Offguard.exe
Ostronet.exe
Outpost.exe
Outpost.exe
Padmin.exe
Padmin.exe
Panixk.exe
Panixk.exe
Pavproxy.exe
Pccclient.exe
Pccguide.exe
Pcciomon.exe
Pccwin97.exe
Pcfwallicon.exe
Pcscan.exe
Periscope.exe
Persfw.exe
Pf2.exe
Pfwadmin.exe
Pingscan.exe
Platin.exe
Platin.exe
Portdetective.exe
Ppinupdt.exe
Pptbc.exe
Pptbc.exe
Ppvstop.exe
Ppvstop.exe
Processmonitor.exe
Procexplorerv1.0.exe
Programauditor.exe
Proport.exe
Protectx.exe
Protectx.exe
Protectx.exe
Pspf.exe
Purge.exe
Purge.exe
Pview95.exe
Realmon.exe
Rrguard.exe
Rshell.exe
Rtvscn95.exe
Safeweb.exe
Sbserv.exe
Sbserv.exe
Scan32.exe
Scrscan.exe
Sd.exe
Sfc.exe
Sh.exe
Sh.exe
Shn.exe
Smc.exe
Sofi.exe
Spf.exe
Sphinx.exe
Sphinx.exe
Spyxx.exe
Srwatch.exe
Ss3edit.exe
St2.exe
Supftrl.exe
Supporter5.exe
Sweep95.exe
Sweepsrv.Sysvshwin32.exe
Symproxysvc.exe
Symtray.exe
Sysedit.exe
Taskmon.exe
Taumon.exe
Taumon.exe
Tauscan.exe
Tc.exe
Tca.exe
Tcm.exe
Tfak.exe
Tfak5.exe
Tgbob.exe
Titanin.exe
Titaninxp.exe
Trjscan.exe
Trjscan.exe
Trojantrap3.exe
Trojantrap3.exe
Undoboot.exe
Vbcons.exe
Vbust.exe
Vbwin9x.exe
Vbwinntw.exe
Vccmserv.exe
Vet32.exe
Vettray.exe
Vir-Help.exe
Virusmdpersonalfirewall.exe
Vnlan300.exe
Vnpc3000.exe
Vpfw30s.exe
Vptray.exe
Vsched.exe
Vsecomr.exe
Vsecomr.exe
Vshwin32.exe
Vshwin32.exe
Vshwin32.exe
Vshwin32vbcmserv.exe
Vsmain.exe
Vsmain.exe
Vsmon.exe
Vsstat.exe
Vsstat.exe
Vswin9xe.exe
Vswinntse.exe
W9x.exe
Watchdog.exe
Watchdog.exe
Webscanx.exe
Webscanx.exe
Webtrap.exe
Wgfe95.exe
Whoswatchingme.exe
Winrecon.exe
Winsfcm.exe
Wnt.exe
Wradmin.exe
Wrctrl.exe
Wsbgate.exe
Wyvernworksfirewall.exe
Zapro.exe
Zapro.exe
Zapro.exe
Zatutor.exe
Zonealarm.exe
Zonealarm.exe

また、次のレジストリキーから
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

次の値を削除しようとします。

Alogserv
Amon
Apvxd
Apvxdwin
Atrack
AvconsoleEXE
AVG_CC
avgcc32
Avgserv9.exe
AVPCC
BlackIce Utility
CcApp
CcRegVfy
ConfigSafe
CPD_EXE
defwatch
dvpapi9x
Fix-it
Fix-it AV
Freedom
F-StopW
iamapp
Icon Animation
Image & Restore
InstallNAIProduct
Iomon98.exe
LoadBlackD
Look 'n' Stop
McAfee Firewall
McAfee Winguage
McAfee.InstantUpdate.Monitor
McAfeeVirusScanService
McAfeeWebscanX
McAgentExe
McUpdateExe
mgavrtclexe
minilog
Mount Safe & Sound
MPFExe
myNetWatchman
Naimagent_service
Naimagent_UI
NAV Agent
NAV Configuration Wizard
NAV DefAlert
navapw32
NB Common Dialog Enhancements
NB Start Menu
NB Windows Patterns
NFTSCLUP
nisserv
Nod32CC
NOD32POP3
Norton Auto-Protect
Norton eMail Protect
Norton Navigator Loader
Norton Program Scheduler
Norton Program Scheduler Event Checker
NPS Event Checker
OfficeGuard RegChecker
Panda Scheduler
PCCIOMON.EXE
PersFw
pop3trap
Poproxy
PP2000 Instaupdate
PP2000 Real Time Scan
PP2000 Taskbar Control
ProPort Startup
Ptsnoop
RapApp
rtvscn95
ScanInicio
Scanner Detector
SCHWIZEXo
ScriptBlocking
SDaemon
SDetect.exe
ShStatEXE
smc
SMC Service
SmcServices
supporter5
SymTray - Norton SystemWorks
Tau monitor
tcactive
tcmonitor
TDspOff
Tiny Personal Firewall
TrendMicro Antivirus
TrueVector
VAGuard
Vet Alert
Vet Start Up
VetTray
VirusScan Online
vptray
VsEcomrEXE
Vshwin32EXE
VsStatEXE
web3trap
WebScanX
Webtrap
WinGuage Pro
WinProxy
WM_LOGIN
ZoneAlarm
ZoneAlarm Pro

さらに次のレジストリキーから
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

次の値を削除しようとします。

Amon
Apvxd
Apvxdwin
Atrack
AvconsoleEXE
AVG_CC
avgcc32
Avgserv9.exe
AVPCC
AVPCC Service
BlackIce Utility
CcApp
CcRegVfy
ConfigSafe
CPD_EXE
defwatch
dvpapi9x
Fix-it
Fix-it AV
Freedom
F-StopW
iamapp
Icon Animation
Image & Restore
InstallNAIProduct
Iomon98.exe
LoadBlackD
Look 'n' Stop
McAfee Firewall
McAfee Winguage
McAfee.InstantUpdate.Monitor
McAfeeVirusScanService
McAfeeWebscanX
McAgentExe
McUpdateExe
mgavrtclexe
minilog
Mount Safe & Sound
MPFExe
myNetWatchman
Naimagent_service
Naimagent_UI
NAV Agent
NAV Configuration Wizard
NAV DefAlert
navapw32
NB Common Dialog Enhancements
NB Start Menu
NB Windows Patterns
NFTSCLUP
nisserv
Nod32CC
NOD32POP3
Norton Auto-Protect
Norton eMail Protect
Norton Navigator Loader
Norton Program Scheduler
Norton Program Scheduler Event Checker
NPS Event Checker
Panda Scheduler
PCCIOMON.EXE
PersFw
pop3trap
Poproxy
PP2000 Instaupdate
PP2000 Real Time Scan
PP2000 Taskbar Control
ProPort Startup
Ptsnoop
RapApp
rtvscn95
ScanInicio
Scanner Detector
SCHWIZEXo
ScriptBlocking
SDaemon
SDetect.exe
ShStatEXE
smc
SMC Service
SmcServices
supporter5
SymTray - Norton SystemWorks
Tau monitor
tcactive
tcmonitor
TDspOff
Tiny Personal Firewall
TrendMicro Antivirus
TrueVector
VAGuard
Vet Alert
Vet Start Up
VetTray
VirusScan Online
vptray
VsEcomrEXE
Vshwin32EXE
VsStatEXE
web3trap
WebScanX
Webtrap
WinGuage Pro
WinProxy
WM_LOGIN
ZoneAlarm
ZoneAlarm Pro

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
パスワードポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。

記述: Kaoru Hayashi

駆除方法

危険性の評価