W32.Spybot.Worm

W32.Spybot.Worm は、Kazaa ファイル共有ネットワークと mIRC を使って拡散するワームのファミリーに対する検出名です。このワームは、一般的なバックドア型トロイの木馬に感染しているコンピュータや弱いパスワードでプロテクトされているネットワーク共有上のコンピュータへ拡散することもできます。 W32.Spybot.Worm は、構成可能な IRC サーバーへ接続し、指示を待機するために特定のチャネルへ参加することによって、各種の操作を行うことが可能です。また比較的新しい亜種は、次の脆弱性を悪用することによって拡散することもできる可能性があります。 TCP ポート 135 を使用する、DCOM RPC における脆弱性（Microsoft セキュリティ情報 MS03-026http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.mspx 参照）。Microsoft Windows Local Security Authority Service のリモートバッファオーバーフローの脆弱性（Microsoft セキュリティ情報 MS04-011http://www.microsoft.com/japan/technet/security/Bulletin/MS04-011.mspx 参照）。UDP ポート 1434 を使用する、Microsoft SQL Server 2000 または MSDE 2000 の監査における脆弱性（Microsoft セキュリティ情報 MS02-061http://www.microsoft.com/japan/technet/security/bulletin/ms02-061.mspx 参照）。TCP ポート 80 を使用する、WebDav における脆弱性（Microsoft セキュリティ情報 MS03-007http://www.microsoft.com/japan/technet/security/bulletin/ms03-007.mspx 参照）。UPnP NOTIFY のバッファオーバーフローの脆弱性（Microsoft セキュリティ情報 MS01-059http://www.microsoft.com/japan/technet/security/Bulletin/MS01-059.mspx 参照）。 TCP ポート 445 を使用する、Workstation Service のバッファオーバーランの脆弱性（Microsoft セキュリティ情報 MS03-049http://www.microsoft.com/japan/technet/security/Bulletin/MS03-049.mspx 参照）。 Windows XP ユーザーは、Microsoft セキュリティ情報 MS03-043http://www.microsoft.com/japan/technet/security/bulletin/MS03-043.mspx 内のパッチが適用されている場合は、この脆弱性に対してプロテクトされています。Windows 2000 ユーザーは、Microsoft セキュリティ情報 MS03-049http://www.microsoft.com/japan/technet/security/Bulletin/MS03-049.mspx 内のパッチを適用する必要があります。Microsoft Windows SSL ライブラリにおけるサービス拒否攻撃の脆弱性（Microsoft セキュリティ情報 MS04-011http://www.microsoft.com/japan/technet/security/Bulletin/MS04-011.mspx 参照）。VERITAS Backup Exec Agent ブラウザのリモートバッファオーバーフローの脆弱性（こちらhttp://seer.support.veritas.com/docs/273419.htm（英語）を参照）。 Microsoft Windows プラグ アンド プレイのバッファオーバーフローの脆弱性（Microsoft セキュリティ情報 MS05-039http://www.microsoft.com/japan/technet/security/Bulletin/MS05-039.mspx 参照）。Microsoft Windows Server サービスのリモートバッファオーバーフローの脆弱性（Microsoft セキュリティ情報 MS06-040http://www.microsoft.com/japan/technet/security/Bulletin/MS06-040.mspx 参照）。Symantec Client Security と Symantec AntiVirus に権限昇格の脆弱性（Symantec Advisory SYM06-010http://www.symantec.com/ja/jp/enterprise/security_response/vulnerability.jsp?bid=2006.05.25参照）。 注意: Spybot ワームファミリーの最近の亜種は、2006 年 5 月にレポートされた SAV 10/SCS 3 における脆弱性（SYM06-010http://www.symantec.com/avcenter/security/Content/2006.05.25.html（英語））を含む複数の既知の脆弱性を悪用します。 この脆弱性に対するパッチhttp://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2006052609181248が利用可能となっています。影響を受ける製品のユーザーは、この特定のタイプの Sybot ワームファミリーの拡散を避けるために、出来る限り早急にシステムにパッチを適用することを強くお勧めします。システムが Spybot の亜種に感染し、このセキュリティパッチを適用していない場合は、次の文書をお読みください。「Attempting to migrate from 10.x to a newer version fails after becoming infected with a worm which exploits SYM06-010http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007010412434648（英語）」 SYM06-010（英語）http://www.symantec.com/avcenter/security/Content/2006.05.25.htmlのすべての既知のまたは未知の脆弱性の悪用に対する IPS シグネチャが、2006 年 5 月 26 日リリースされました。感染により引き起こされる過度のネットワークトラフィックにより、ネットワークのパフォーマンスが著しく低下する可能性があります。この検出は日ごとに変更されるため、ウイルス定義を頻繁にアップデートすることを推奨します。

プロテクション

• Rapid Release 初回バージョン 2003 年 4 月 16 日
• Rapid Release 最新バージョン 2008 年 7 月 23 日 改訂 037
• Daily Certified 初回バージョン 2003 年 4 月 16 日
• Daily Certified 最新バージョン 2008 年 7 月 23 日 改訂 039
• Weekly Certified 初回リリース日 2003 年 4 月 16 日

Rapid Release と Daily Certified ウイルス定義について詳しくは、こちらをクリックしてください。

危険性の評価

被害状況

• 被害レベル: 低
• 感染台数: 0 - 49
• 感染報告数: 0 - 2
• 地域危険度: 中
• 対処レベル: 易
• 駆除: 中

ダメージ

• ダメージレベル: 中
• 秘密情報の漏洩: 個人データを IRC チャネルへ送信します。
• 不正アクセス: 標的のコンピュータ上で、認証されていないコマンドを実行できるようにします。

感染力

• 感染力レベル: 高
• 共有ドライブ: mIRC を介して、また KaZaA ファイル共有ネットワークを使って拡散します。
• 感染対象: リモートで悪用可能な脆弱性。