W32.Spybot.Worm

危険度 2: 低

ドキュメントを印刷する

発見日: 2003 年 4 月 16 日

更新日: 2009 年 3 月 13 日 6:21:25 AM

別名: Win32.Spybot.gen [Computer Associates], Worm.P2P.SpyBot.gen [Kaspersky], W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend]

種別: ワーム

感染サイズ: 不定

影響を受けるシステム: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

CVE リファレンス: CVE-2001-0876, CVE-2002-1145, CVE-2003-0109, CVE-2003-0352, CVE-2003-0533, CVE-2003-0717, CVE-2003-0812, CVE-2004-0120, CVE-2005-1983, CVE-2006-2630, CVE-2007-0041, CVE-2008-4250

W32.Spybot.Worm は、実行時に、次を実施します。

%System% に自分自身をコピーします。亜種のいくつかは、次のファイル名のいずれかである可能性があります。
- Bling.exe
- Netwmon.exe
- Wuamgrd.exe
  
  注意: %System% は変数です。このワームは、System フォルダを探し出し、そのロケーションへ自分自身をコピーします。デフォルトでは、これは C:\Windows\System（Windows 95、98、Me）、C:\Winnt\System32（Windows NT、2000）、C:\Windows\System32（Windows XP）です。
次のレジストリ値を追加することで、Kazaa ファイル共有ネットワーク上にフォルダを作成して共有する可能性があります。

"dir0" = "012345:[設定可能パス]"

レジストリサブキー:

HKEY_CURRENT_USER\SOFTWARE\KAZAA\LocalContent
このワームを他のユーザーにダウンロードさせ、実行させるように設計されたファイル名として設定されたパスに自分自身をコピーします。
指定されたサーバーで、サービス拒否攻撃 (DOS) を行う可能性があります。
セキュリティアプリケーションのプロセスを終了する可能性があります。
指定された IRC サーバーに接続し、チャンネルに参加してコマンドを受信します。このコマンドは、次を含む可能性があります。
- 脆弱性のあるコンピュータをスキャンする
- ファイルのダウンロードやアップロードを行う
- 実行中のプロセスのリストアップや終了を行う
- キャッシュされたパスワードを盗み取る
- 次の文字列を含むタイトルを持つウィンドウに入力された情報を盗み取るために、キーストロークをログ記録する
  - bank
  - login
  - e-bay
  - ebay
  - paypal
- ローカル HTTP、または FTP、または TFTP サーバーを開始する
- 侵入先のコンピュータ上のファイルを検索する
- スクリーンショット、クリップボードからのデータ、Webcam からの映像をキャプチャする
- URL にアクセスする
- DNS や ARP キャッシュをフラッシュする
- 侵入先のコンピュータ上にコマンドシェルを開く
- ローカルネットワークエリア上のパケットを傍受する
- net send メッセージを送信する
- 次のような、多数のハードコード化した Windows startup フォルダへ自分自身をコピーする
  - Documents and Settings\All Users\Menu Start\Programma's\Opstarten
  - WINDOWS\All Users\Start Menu\Programs\StartUp
  - WINNT\Profiles\All Users\Start Menu\Programs\Startup
  - WINDOWS\Start Menu\Programs\Startup
  - Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
  - Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
  - Documents and Settings\All Users\Start Menu\Programs\Startup
    
    注意: シマンテックセキュリティレスポンスは、スタートアップフォルダの 0 バイトファイルを作成するワームの亜種報告を受けています。これらのファイルは、TFTP780 あるいは TFTP ### (# は数字) のようなファイル名である可能性があります。
次のレジストリサブキーの 1 つあるいは複数に、レジストリー変数を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Shell Extensions
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunOnce
HKEY_CURRENT_USER\Software\Microsoft\OLE

例:

"Microsoft Update" = "wuamgrd.exe"

または

"Microsoft Macro Protection Subsystem" = "bling.exe"
次のサブキーの下に、ランダムな値でランダムなサブキーを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE

例えば、この値を追加する可能性があります。

"{0BCDA1A6641FB859F}" = "bb 75 8e 3b 04 ae 16 5c 7f 68 ef 02 ed f6 0e 26 86 73 e3 30 bd"

レジストリサブキー:

HKEY_LOCAL_MACHINE\SOFTWARE\The Silicon Realms Toolworks\Armadillo
次のサブキーの下に、ランダムな値でランダムなサブキーを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
次の値のうちいずれか 1 つを改ざんする可能性があります。

"EnableDCOM" = "Y"
"EnableDCOM" = "N"

レジストリキー内:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE

これらは攻撃者からのコマンドに応じて、DCOM 設定を有効あるいは無効にします。
次の値を改ざんする可能性があります。

"restrictanonymous" = "1"

レジストリキー内:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

ネットワークアクセスを制限します。
次の値を改ざんする可能性があります。

"Start" = "4"

レジストリキー内:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger

さまざまなサービスを無効にします。
次の値を改ざんする可能性があります。

"AutoShareWks" = "0"
"AutoShareServer" = "0"

レジストリキー内:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanworkstation\parameters
次の値を改ざんする可能性があります。

"DoNotAllowXPSP2" = "1"

レジストリキー内:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
WindowsUpdate

侵入先のコンピュータへの Windows XP SP2 のインストールを防ぐ。
次の値を改ざんする可能性があります。

"AUOptions" = "1"

レジストリキー内:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
WindowsUpdate\AutoUpdate
次の値を改ざんする可能性があります。

"UpdatesDisableNotify" = "1"
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallOverride" = "1"

次のレジストリサブキー：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

Microsoft セキュリティセンターを無効にする。
次の値を改ざんする可能性があります。

"EnableFirewall" = "0"

レジストリキー内:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
StandardProfile

Microsoft Windows XP ファイアウォールを無効にします。
サービスを無効にするために、レジストリエントリを改ざんする可能性があります。

例:
- wscsvc
- Tlntsvr
- RemoteRegistry
- Messenger
オペレーティングシステム、IP アドレス、ユーザー名などのような機密情報を IRC サーバーに送信する可能性があります。
バックドアを 1 つのランダムなポートに開放します。
自分自身を 1 つのサービスとして登録するために、サブキーを作成する可能性があります。

例:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BoolTern
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_BOOLTERN
%System%\haxdrv.sys と名付けられたデバイスドライバファイルを投下します。
HTTP プロキシサーバー、SOCKS4 あるいは、SMTP プロトコルを開始します。
ネットワークをポートスキャンする可能性があります。
弱い管理者または SA パスワードが設定されている MS SQL サーバーへ接続しようとし、成功した場合は、コンピュータへ自分自身をコピーする可能性があります。リモートサーバーへの認証をしようとして、次のパスワードを適用する可能性があります。
- null
- Rendszergazda
- Beheerder
- amministratore
- hallintovirkailijat
- Administrat
- Administrateur
- administrador
- Administrador
- administrator
- Administrator
- ADMINISTRATOR
- Password
- password
- admin
- 123
コンピュータのアカウントを列挙し、常に SeNetworkLogonRight の認証を無効化し、ネットワークログオンタイプの使用権限を持つアカウントを完全に拒否する可能性があります。
ネットワーク共有へ自分自身をコピーするために、ユーザーを列挙しようとする可能性があります。リモート共有への認証をしようとして、次のパスワードを適用する可能性があります。
- 007
- 123
- 1234
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 1234567890
- 2000
- 2001
- 2002
- 2003
- 2004
- access
- accounting
- accounts
- adm
- administrador
- administrat
- administrateur
- administrator
- admins
- amministratore
- asd
- backup
- beheerder
- bill
- bitch
- blank
- bob
- brian
- changeme
- chris
- cisco
- compaq
- computer
- control
- data
- database
- databasepass
- databasepassword
- db1
- db1234
- db2
- dba
- dbpass
- dbpassword
- default
- dell
- demo
- domain
- domainpass
- domainpassword
- eric
- exchange
- fred
- fuck
- george
- god
- guest
- hallintovirikailijat
- hell
- hello
- home
- homeuser
- ian
- ibm
- internet
- intranet
- jen
- joe
- john
- kate
- katie
- lan
- lee
- linux
- login
- loginpass
- luke
- mail
- main
- mary
- mike
- neil
- nokia
- none
- null
- oem
- oeminstall
- oemuser
- office
- oracle
- orainstall
- outlook
- owner
- pass
- pass1234
- passwd
- password
- password1
- peter
- pwd
- qaz
- qwe
- qwerty
- rendszergazda
- sam
- server
- sex
- siemens
- slut
- sql
- sqlpassoainstall
- staff
- student
- sue
- susan
- system
- teacher
- technical
- test
- unix
- user
- web
- win2000
- win2k
- win98
- windows
- winnt
- winpass
- winxp
- www
- wwwadmin
- zxc
  
  注意: このステップでは、認証の試行の複数回の失敗により、ユーザーアカウントをロックアウトする結果になる可能性があります。
次の脆弱性を悪用することで拡散する可能性があります。
- 「TCP ポート 135 を使用する、DCOM RPC における脆弱性」（Microsoft セキュリティ情報 MS03-026）
- 「TCP ポート 135、139、または 445 を使用する、LSASS における脆弱性」（Microsoft セキュリティ情報 MS04-011)
- 「UDP ポート 1434 を使用する、Microsoft SQL Server 2000 または MSDE 2000 の監査における脆弱性」（Microsoft セキュリティ情報 MS02-061)
- 「TCP ポート 80 を使用する、WebDav における脆弱性」（Microsoft セキュリティ情報 MS03-007）
- 「UPnP NOTIFY のバッファオーバーフローの脆弱性」（Microsoft セキュリティ情報 MS01-059)
- 「TCP ポート 445 を使用する、Workstation サービスのバッファオーバーランの脆弱性」（Microsoft セキュリティ情報 MS03-049)Windows XP ユーザーは、Microsoft セキュリティ情報 MS03-043 のパッチが適用済みの場合は、この脆弱性から保護されてます。Windows 2000 ユーザーは、Microsoft セキュリティ情報 MS03-049 のパッチを適用します。
- 「Microsoft Windows SSL ライブラリにおけるサービス拒否攻撃の脆弱性」（Microsoft セキュリティ情報 MS04-011)
- 「VERITAS Backup Exec Agent Browser Remote Buffer Overflow Vulnerability」（(英語)
- 「Microsoft Windows プラグアンドプレイのバッファオーバーフローの脆弱性」（Microsoft セキュリティ情報 MS05-039)
- 「Microsoft Windows Server サービスのリモートバッファオーバーフローの脆弱性」（Microsoft セキュリティ情報 MS06-040）
- 「Symantec Client Security と Symantec AntiVirus に権限昇格の脆弱性」（Symantec Advisory SYM06-010）
- Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874)(英語)
自分自身のアップデートを含むリモートファイルをダウンロードして実行する可能性があります。
VMWare またはデバッガのコンテキストのもとで、実行中かどうかを確認する可能性があります。これに該当する場合には、直ちに自分自身を終了します。
自分自身をプロセスリストから隠蔽し、このハッキングツールを 1 つのサービスとして登録するために、Hacktool.Rootkit を投下する可能性があります。

たとえば、rdriv.sys を投下し、次のサブキーを作成する可能性があります。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rdriv
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_RDRIV

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
パスワードポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。

記述: Douglas Knowles

駆除方法

危険性の評価