注意: 2004 年 4 月 29 日以前のウイルス定義は、この脅威を W32.Gaobot.AFJ として検出します。


W32.Gaobot.AFC は、オープンになっているネットワーク共有、Windows の複数の脆弱性、Beagle ファミリや Mydoom ファミリのワームによってインストールされたバックドア、および、Optix ファミリのバックドアを通じて拡散するワームです。

また、W32.Gaobot.AFC は、バックドアサーバ・プログラムとして動作し、他のシステムを攻撃する能力も備えています。さらに、このワームは、多数のウイルス対策ソフトやセキュリティ・アプリケーションのプロセスを停止させようとします。

W32.Gaobot.AFC は、次の複数の脆弱性を利用して感染を広げます。

• DCOM RPC の脆弱性 (マイクロソフトセキュリティ情報 MS03-026 参照) を、TCP ポート 135 を使って悪用します。
  
• WebDav の脆弱性 (マイクロソフトセキュリティ情報 MS03-007 参照) を、TCP ポート 80 を使って悪用します。
  
• Workstation サービスのバッファ・オーバーランの脆弱性 (マイクロソフトセキュリティ情報 MS03-049 参照) を、TCP ポート 445 を使って悪用します。Windows XP をお使いの場合、MS03-043 のセキュリティ修正プログラムが適用済みであれば、この脆弱性にすでに対応しています。Windows 2000 をお使いの場合は必ず MS03-049 を適用してください。
  
• UPnP の脆弱性 (マイクロソフトセキュリティ情報 MS01-059 参照) を悪用します。
  
• Microsoft SQL Server 2000/MSDE 2000 の監査機能の脆弱性 (マイクロソフトセキュリティ情報 MS02-061 参照) を、UDP ポート 1434 を使って悪用します。
  
• Microsoft Windows Local Security Authority Subsystem Service (LSASS) のバッファ・オーバーフローの脆弱性 (マイクロソフトセキュリティ情報 MS04-011 参照) を悪用します。
  
• Beagle ファミリおよび Mydoom ファミリのワームが開くバックドアポートに自分自身を送信します。
  

別名: W32.Gaobot.AFJ, Backdoor.Agobot.gen [Kaspersky]

種別: ワーム

感染サイズ: 332,800

影響を受けるシステム: Windows 2000, Windows NT, Windows XP

影響を受けないシステム: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX

対応日(Intelligent Updater)* 2004/04/29(米国時間) 対応日(Live UpdateTM)** 2004/05/05(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 0-49 報告件数: 0-2 地域感染度: 低 対処レベル: 高 駆除: 容易

危険性評価グラフ 被害状況: 低 ダメージ: 低 感染力: 低

ダメージ

• 発症のタイミング: n/a
  
• 発病症状: n/a
  
  • 大量メール送信: n/a
    
  • ファイル削除: n/a
    
  • ファイル改ざん: n/a
    
  • 秘密情報の漏洩: n/a
    
  • パフォーマンス低下: n/a
    
  • システムの不安定化: n/a
    
  • 不正アクセス: n/a
    

感染力

• メール件名: n/a
  
• 添付ファイル: n/a
  
• 添付ファイルのタイムスタンプ: n/a
• 添付ファイルのサイズ: n/a
• ポート: n/a
  
• 共有ドライブ: ネットワーク共有に自分自身をコピーする。
  
• 感染対象: n/a
  

W32.Gaobot.AFC が実行されると、次のことを行います。

1. 自分自身を %System%\wmiprvsw.exe としてコピーします。
   
   

   ---

   注意: %System% は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
   

   ---

   
   
2. 次の値を
   
   "System Updater Service=wmiprvsw.exe
   
   次のレジストリキーに追加します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   
3. 次の値を
   
   "System Updater Service=wmiprvsw.exe"
   
   次のレジストリキーに追加します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   
   
4. %System%\drivers\etc\hosts ファイルに次の行を追加します。
   
   127.0.0.1 www.symantec.com
   127.0.0.1 securityresponse.symantec.com
   127.0.0.1 symantec.com
   127.0.0.1 www.sophos.com
   127.0.0.1 sophos.com
   127.0.0.1 www.mcafee.com
   127.0.0.1 mcafee.com
   127.0.0.1 liveupdate.symantecliveupdate.com
   127.0.0.1 www.viruslist.com
   127.0.0.1 viruslist.com
   127.0.0.1 viruslist.com
   127.0.0.1 f-secure.com
   127.0.0.1 www.f-secure.com
   127.0.0.1 kaspersky.com
   127.0.0.1 kaspersky-labs.com
   127.0.0.1 www.avp.com
   127.0.0.1 www.kaspersky.com
   127.0.0.1 avp.com
   127.0.0.1 www.networkassociates.com
   127.0.0.1 networkassociates.com
   127.0.0.1 www.ca.com
   127.0.0.1 ca.com
   127.0.0.1 mast.mcafee.com
   127.0.0.1 my-etrust.com
   127.0.0.1 www.my-etrust.com
   127.0.0.1 download.mcafee.com
   127.0.0.1 dispatch.mcafee.com
   127.0.0.1 secure.nai.com
   127.0.0.1 nai.com
   127.0.0.1 www.nai.com
   127.0.0.1 update.symantec.com
   127.0.0.1 updates.symantec.com
   127.0.0.1 us.mcafee.com
   127.0.0.1 liveupdate.symantec.com
   127.0.0.1 customer.symantec.com
   127.0.0.1 rads.mcafee.com
   127.0.0.1 trendmicro.com
   127.0.0.1 www.trendmicro.com
   127.0.0.1 www.grisoft.com
   
   その結果、ユーザは特定の Web サイトへアクセスできなくなります。
   
   
5. 次の名前のプロセスの停止を試みます。これらのプロセスのうち大半はセキュリティ・ソフトウェアに関連があります。
   
   _AVP32.EXE
   _AVPCC.EXE
   _AVPM.EXE
   ACKWIN32.EXE
   ADAWARE.EXE
   ADVXDWIN.EXE
   AGENTSVR.EXE
   AGENTW.EXE
   ALERTSVC.EXE
   ALEVIR.EXE
   ALOGSERV.EXE
   AMON9X.EXE
   ANTI-TROJAN.EXE
   ANTIVIRUS.EXE
   ANTS.EXE
   APIMONITOR.EXE
   APLICA32.EXE
   APVXDWIN.EXE
   ARR.EXE
   ATCON.EXE
   ATGUARD.EXE
   ATRO55EN.EXE
   ATUPDATER.EXE
   ATWATCH.EXE
   AU.EXE
   AUPDATE.EXE
   AUTO-PROTECT.NAV80TRY.EXE
   AUTODOWN.EXE
   AUTOTRACE.EXE
   AUTOUPDATE.EXE
   AVCONSOL.EXE
   AVE32.EXE
   AVGCC32.EXE
   AVGCTRL.EXE
   AVGNT.EXE
   AVGSERV.EXE
   AVGSERV9.EXE
   AVGUARD.EXE
   AVGW.EXE
   AVKPOP.EXE
   AVKSERV.EXE
   AVKSERVICE.EXE
   AVKWCTl9.EXE
   AVLTMAIN.EXE
   AVNT.EXE
   AVP.EXE
   AVP32.EXE
   AVPCC.EXE
   AVPDOS32.EXE
   AVPM.EXE
   AVPTC32.EXE
   AVPUPD.EXE
   AVSCHED32.EXE
   AVSYNMGR.EXE
   AVWIN95.EXE
   AVWINNT.EXE
   AVWUPD.EXE
   AVWUPD32.EXE
   AVWUPSRV.EXE
   AVXMONITOR9X.EXE
   AVXMONITORNT.EXE
   AVXQUAR.EXE
   BACKWEB.EXE
   BARGAINS.EXE
   BD_PROFESSIONAL.EXE
   BEAGLE.EXE
   BELT.EXE
   BIDEF.EXE
   BIDSERVER.EXE
   BIPCP.EXE
   BIPCPEVALSETUP.EXE
   BISP.EXE
   BLACKD.EXE
   BLACKICE.EXE
   BLSS.EXE
   BOOTCONF.EXE
   BOOTWARN.EXE
   BORG2.EXE
   BPC.EXE
   BRASIL.EXE
   BS120.EXE
   BUNDLE.EXE
   BVT.EXE
   CCAPP.EXE
   CCEVTMGR.EXE
   CCPXYSVC.EXE
   CDP.EXE
   CFD.EXE
   CFGWIZ.EXE
   CFIADMIN.EXE
   CFIAUDIT.EXE
   CFINET.EXE
   CFINET32.EXE
   Claw95.EXE
   CLAW95CF.EXE
   CLEAN.EXE
   CLEANER.EXE
   CLEANER3.EXE
   CLEANPC.EXE
   CLICK.EXE
   CMD32.EXE
   CMESYS.EXE
   CMGRDIAN.EXE
   CMON016.EXE
   CONNECTIONMONITOR.EXE
   CPD.EXE
   CPF9X206.EXE
   CPFNT206.EXE
   CTRL.EXE
   CV.EXE
   CWNB181.EXE
   CWNTDWMO.EXE
   DATEMANAGER.EXE
   DCOMX.EXE
   DEFALERT.EXE
   DEFSCANGUI.EXE
   DEFWATCH.EXE
   DEPUTY.EXE
   DIVX.EXE
   DLLCACHE.EXE
   DLLREG.EXE
   DOORS.EXE
   DPF.EXE
   DPFSETUP.EXE
   DPPS2.EXE
   DRWATSON.EXE
   DRWEB32.EXE
   DRWEBUPW.EXE
   DSSAGENT.EXE
   DVP95.EXE
   DVP95_0.EXE
   ECENGINE.EXE
   EFPEADM.EXE
   EMSW.EXE
   ENT.EXE
   ESAFE.EXE
   ESCANH95.EXE
   ESCANHNT.EXE
   ESCANV95.EXE
   ESPWATCH.EXE
   ETHEREAL.EXE
   ETRUSTCIPE.EXE
   EVPN.EXE
   EXANTIVIRUS-CNET.EXE
   EXE.AVXW.EXE
   EXPERT.EXE
   EXPLORE.EXE
   F-AGNT95.EXE
   F-PROT.EXE
   F-PROT95.EXE
   F-STOPW.EXE
   FAMEH32.EXE
   FAST.EXE
   FCH32.EXE
   FIH32.EXE
   FINDVIRU.EXE
   FIREWALL.EXE
   FLOWPROTECTOR.EXE
   FNRB32.EXE
   FP-WIN.EXE
   FP-WIN_TRIAL.EXE
   FPROT.EXE
   FRW.EXE
   FSAA.EXE
   FSAV.EXE
   FSAV32.EXE
   FSAV530STBYB.EXE
   FSAV530WTBYB.EXE
   FSAV95.EXE
   FSGK32.EXE
   FSM32.EXE
   FSMA32.EXE
   FSMB32.EXE
   GATOR.EXE
   GBMENU.EXE
   GBPOLL.EXE
   GENERICS.EXE
   GMT.EXE
   GUARD.EXE
   GUARDDOG.EXE
   HACKTRACERSETUP.EXE
   HBINST.EXE
   HBSRV.EXE
   HOTACTIO.EXE
   HOTPATCH.EXE
   HTLOG.EXE
   HTPATCH.EXE
   HWPE.EXE
   HXDL.EXE
   HXIUL.EXE
   IAMAPP.EXE
   IAMSERV.EXE
   IAMSTATS.EXE
   IBMASN.EXE
   IBMAVSP.EXE
   ICLOAD95.EXE
   ICLOADNT.EXE
   ICMON.EXE
   ICSUPP95.EXE
   ICSUPPNT.EXE
   IDLE.EXE
   IEDLL.EXE
   IEDRIVER.EXE
   IEXPLORER.EXE
   IFACE.EXE
   IFW2000.EXE
   INETLNFO.EXE
   INFUS.EXE
   INFWIN.EXE
   INIT.EXE
   INTDEL.EXE
   INTREN.EXE
   IOMON98.EXE
   IPARMOR.EXE
   IRIS.EXE
   ISASS.EXE
   ISRV95.EXE
   ISTSVC.EXE
   JAMMER.EXE
   JDBGMRG.EXE
   JEDI.EXE
   KAVLITE40ENG.EXE
   KAVPERS40ENG.EXE
   KAVPF.EXE
   KAZZA.EXE
   KEENVALUE.EXE
   KERIO-PF-213-EN-WIN.EXE
   KERIO-WRL-421-EN-WIN.EXE
   KERIO-WRP-421-EN-WIN.EXE
   KERNEL32.EXE
   KILLPROCESSSETUP161.EXE
   LAUNCHER.EXE
   LDNETMON.EXE
   LDPRO.EXE
   LDPROMENU.EXE
   LDSCAN.EXE
   LNETINFO.EXE
   LOADER.EXE
   LOCALNET.EXE
   LOCKDOWN.EXE
   LOCKDOWN2000.EXE
   LOOKOUT.EXE
   LORDPE.EXE
   LSETUP.EXE
   LUALL.EXE
   LUAU.EXE
   LUCOMSERVER.EXE
   LUINIT.EXE
   LUSPT.EXE
   MAPISVC32.EXE
   MCAGENT.EXE
   MCMNHDLR.EXE
   MCSHIELD.EXE
   MCTOOL.EXE
   MCUPDATE.EXE
   MCVSRTE.EXE
   MCVSSHLD.EXE
   MD.EXE
   MFIN32.EXE
   MFW2EN.EXE
   MFWENG3.02D30.EXE
   MGAVRTCL.EXE
   MGAVRTE.EXE
   MGHTML.EXE
   MGUI.EXE
   MINILOG.EXE
   MMOD.EXE
   MONITOR.EXE
   MOOLIVE.EXE
   MOSTAT.EXE
   MPFAGENT.EXE
   MPFSERVICE.EXE
   MPFTRAY.EXE
   MRFLUX.EXE
   MSAPP.EXE
   MSBB.EXE
   MSBLAST.EXE
   MSCACHE.EXE
   MSCCN32.EXE
   MSCMAN.EXE
   MSCONFIG.EXE
   MSDM.EXE
   MSDOS.EXE
   MSIEXEC16.EXE
   MSINFO32.EXE
   MSLAUGH.EXE
   MSMGT.EXE
   MSMSGRI32.EXE
   MSSMMC32.EXE
   MSSYS.EXE
   MSVXD.EXE
   MU0311AD.EXE
   MWATCH.EXE
   N32SCANW.EXE
   NAV.EXE
   NAVAP.NAVAPSVC.EXE
   NAVAPSVC.EXE
   NAVAPW32.EXE
   NAVDX.EXE
   NAVENGNAVEX15.NAVLU32.EXE
   NAVLU32.EXE
   NAVNT.EXE
   NAVSTUB.EXE
   NAVW32.EXE
   NAVWNT.EXE
   NC2000.EXE
   NCINST4.EXE
   NDD32.EXE
   NEOMONITOR.EXE
   NEOWATCHLOG.EXE
   NETARMOR.EXE
   NETD32.EXE
   NETINFO.EXE
   NETMON.EXE
   NETSCANPRO.EXE
   NETSPYHUNTER-1.2.EXE
   NETSTAT.EXE
   NETUTILS.EXE
   NISSERV.EXE
   NISUM.EXE
   NMAIN.EXE
   NOD32.EXE
   NORMIST.EXE
   NORTON_INTERNET_SECU_3.0_407.EXE
   NOTSTART.EXE
   NPF40_TW_98_NT_ME_2K.EXE
   NPFMESSENGER.EXE
   NPROTECT.EXE
   NPSCHECK.EXE
   NPSSVC.EXE
   NSCHED32.EXE
   NSSYS32.EXE
   NSTASK32.EXE
   NSUPDATE.EXE
   NT.EXE
   NTRTSCAN.EXE
   NTVDM.EXE
   NTXconfig.EXE
   NUI.EXE
   NUPGRADE.EXE
   NVARCH16.EXE
   NVC95.EXE
   NVSVC32.EXE
   NWINST4.EXE
   NWSERVICE.EXE
   NWTOOL16.EXE
   OLLYDBG.EXE
   ONSRVR.EXE
   OPTIMIZE.EXE
   OSTRONET.EXE
   OTFIX.EXE
   OUTPOST.EXE
   OUTPOSTINSTALL.EXE
   OUTPOSTPROINSTALL.EXE
   PADMIN.EXE
   PANIXK.EXE
   PATCH.EXE
   PAVCL.EXE
   PAVPROXY.EXE
   PAVSCHED.EXE
   PAVW.EXE
   PCC2002S902.EXE
   PCC2K_76_1436.EXE
   PCCIOMON.EXE
   PCCNTMON.EXE
   PCCWIN97.EXE
   PCCWIN98.EXE
   PCDSETUP.EXE
   PCFWALLICON.EXE
   PCIP10117_0.EXE
   PCSCAN.EXE
   PDSETUP.EXE
   PENIS.EXE
   PERISCOPE.EXE
   PERSFW.EXE
   PERSWF.EXE
   PF2.EXE
   PFWADMIN.EXE
   PGMONITR.EXE
   PINGSCAN.EXE
   PLATIN.EXE
   POP3TRAP.EXE
   POPROXY.EXE
   POPSCAN.EXE
   PORTDETECTIVE.EXE
   PORTMONITOR.EXE
   POWERSCAN.EXE
   PPINUPDT.EXE
   PPTBC.EXE
   PPVSTOP.EXE
   PRIZESURFER.EXE
   PRMT.EXE
   PRMVR.EXE
   PROCDUMP.EXE
   PROCESSMONITOR.EXE
   PROCEXPLORERV1.0.EXE
   PROGRAMAUDITOR.EXE
   PROPORT.EXE
   PROTECTX.EXE
   PSPF.EXE
   PURGE.EXE
   PUSSY.EXE
   PVIEW95.EXE
   QCONSOLE.EXE
   QSERVER.EXE
   RAPAPP.EXE
   RAV7.EXE
   RAV7WIN.EXE
   RAV8WIN32ENG.EXE
   RAY.EXE
   RB32.EXE
   RCSYNC.EXE
   REALMON.EXE
   REGED.EXE
   REGEDIT.EXE
   REGEDT32.EXE
   RESCUE.EXE
   RESCUE32.EXE
   RRGUARD.EXE
   RSHELL.EXE
   RTVSCAN.EXE
   RTVSCN95.EXE
   RULAUNCH.EXE
   RUN32DLL.EXE
   RUNDLL16.EXE
   RUXDLL32.EXE
   SAFEWEB.EXE
   SAHAGENT.EXE
   SAVE.EXE
   SAVENOW.EXE
   SBSERV.EXE
   SC.EXE
   SCAM32.EXE
   SCAN32.EXE
   SCAN95.EXE
   SCANPM.EXE
   SCRSCAN.EXE
   SCRSVR.EXE
   SCVHOST.EXE
   SD.EXE
   SERV95.EXE
   SERVICE.EXE
   SERVLCE.EXE
   SERVLCES.EXE
   SETUP_FLOWPROTECTOR_US.EXE
   SETUPVAMEEVAL.EXE
   SFC.EXE
   SGSSFW32.EXE
   SH.EXE
   SHELLSPYINSTALL.EXE
   SHN.EXE
   SHOWBEHIND.EXE
   SMC.EXE
   SMS.EXE
   SMSS32.EXE
   SOAP.EXE
   SOFI.EXE
   SPERM.EXE
   SPF.EXE
   SPHINX.EXE
   SPOLER.EXE
   SPOOLCV.EXE
   SPOOLSV32.EXE
   SPYXX.EXE
   SREXE.EXE
   SRNG.EXE
   SS3EDIT.EXE
   SSG_4104.EXE
   SSGRATE.EXE
   ST2.EXE
   START.EXE
   STCLOADER.EXE
   SUPFTRL.EXE
   SUPPORT.EXE
   SUPPORTER5.EXE
   SVC.EXE
   SVCHOSTC.EXE
   SVCHOSTS.EXE
   SVSHOST.EXE
   SWEEP95.EXE
   SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
   SYMPROXYSVC.EXE
   SYMTRAY.EXE
   SYSEDIT.EXE
   SYSTEM.EXE
   SYSTEM32.EXE
   SYSUPD.EXE
   TASKMG.EXE
   TASKMO.EXE
   TASKMON.EXE
   TAUMON.EXE
   TBSCAN.EXE
   TC.EXE
   TCA.EXE
   TCM.EXE
   TDS-3.EXE
   TDS2-98.EXE
   TDS2-NT.EXE
   TEEKIDS.EXE
   TFAK.EXE
   TFAK5.EXE
   TGBOB.EXE
   TITANIN.EXE
   TITANINXP.EXE
   TRACERT.EXE
   TRICKLER.EXE
   TRJSCAN.EXE
   TRJSETUP.EXE
   TROJANTRAP3.EXE
   TSADBOT.EXE
   TVMD.EXE
   TVTMD.EXE
   UNDOBOOT.EXE
   UPDAT.EXE
   UPDATE.EXE
   UPGRAD.EXE
   UTPOST.EXE
   VBCMSERV.EXE
   VBCONS.EXE
   VBUST.EXE
   VBWIN9X.EXE
   VBWINNTW.EXE
   VCSETUP.EXE
   VET32.EXE
   VET95.EXE
   VETTRAY.EXE
   VFSETUP.EXE
   VIR-HELP.EXE
   VIRUSMDPERSONALFIREWALL.EXE
   VNLAN300.EXE
   VNPC3000.EXE
   VPC32.EXE
   VPC42.EXE
   VPFW30S.EXE
   VPTRAY.EXE
   VSCAN40.EXE
   VSCENU6.02D30.EXE
   VSCHED.EXE
   VSECOMR.EXE
   VSHWIN32.EXE
   VSISETUP.EXE
   VSMAIN.EXE
   VSMON.EXE
   VSSTAT.EXE
   VSWIN9XE.EXE
   VSWINNTSE.EXE
   VSWINPERSE.EXE
   W32DSM89.EXE
   W9X.EXE
   WATCHDOG.EXE
   WEBDAV.EXE
   WEBSCANX.EXE
   WEBTRAP.EXE
   WFINDV32.EXE
   WGFE95.EXE
   WHOSWATCHINGME.EXE
   WIMMUN32.EXE
   WIN-BUGSFIX.EXE
   WIN32.EXE
   WIN32US.EXE
   WINACTIVE.EXE
   WINDOW.EXE
   WINDOWS.EXE
   WININETD.EXE
   WININIT.EXE
   WININITX.EXE
   WINLOGIN.EXE
   WINMAIN.EXE
   WINNET.EXE
   WINPPR32.EXE
   WINRECON.EXE
   WINSERVN.EXE
   WINSSK32.EXE
   WINSTART.EXE
   WINSTART001.EXE
   WINTSK32.EXE
   WINUPDATE.EXE
   WKUFIND.EXE
   WNAD.EXE
   WNT.EXE
   WRADMIN.EXE
   WRCTRL.EXE
   WSBGATE.EXE
   WUPDATER.EXE
   WUPDT.EXE
   WYVERNWORKSFIREWALL.EXE
   XPF202EN.EXE
   ZAPRO.EXE
   ZAPSETUP3001.EXE
   ZATUTOR.EXE
   ZONALM2601.EXE
   ZONEALARM.EXE
   
   
6. 次の名前のプロセスの停止を試みます。これらのプロセスは、他のワームに関連があります。
   
   irun4.exe
   Ssate.exe
   i11r54n4.exe
   winsys.exe
   ssgrate.exe
   d3dupdate.exe
   bbeagle.exe
   
   
7. 大量のデータ (1 つの POST メッセージ当たり 250 KB) を含む HTTP POST メッセージを、次のホストに送信します。
   
   www.ryan1918.net
   www.ryan1918.org
   www.ryan1918.com
   yahoo.co.jp
   www.nifty.com
   www.d1asia.com
   www.st.lib.keio.ac.jp
   www.lib.nthu.edu.tw
   www.above.net
   www.level3.com
   nitro.ucsc.edu
   www.burst.net
   www.cogentco.com
   www.rit.edu
   www.nocster.com
   www.verio.com
   www.stanford.edu
   www.xo.net
   de.yahoo.com
   www.belwue.de
   www.switch.ch
   www.1und1.de
   verio.fr
   www.utwente.nl
   www.schlund.net
   
   
8. ランダムに選択した TCP ポートを開き、そのポートに接続するプロセスすべてに自分自身のコピーを送信します。
   
   
9. リモートの IRC サーバに接続し、外部の攻撃者からのコマンドを待機します。攻撃者はこのバックドアを通じて、感染先のコンピュータ上で次の操作を実行することができます。
   
   
   • コマンドの実行
     
   • FTP/HTTP を介したファイルの入手
     
   • レジストリからデータを取得
     
   • コンピュータの再起動
     
   • プロセスの列挙
     
   • 特定プロセスの終了
     
   • Windows のサービスの終了
     
   • HTTP/ICMP/SYN/UDP フラッド攻撃の実行
     
   • コンピュータ上に保存されているメールアドレスの入手
     
   • HTTP を介したメールアドレスのリストの取得
     
   • 指定された URL の入手
     
   • HTTP/FTP/IRC トラフィックの盗聴
     
   • Windows のプロダクト ID や様々なコンピュータゲームの CD キーの窃盗
     
   
   
10. 次の方法を用いて、他のシステムに拡散を試みます。
    
    
    • Beagle ファミリのワームが開いたバックドアポートに自分自身を送信
      
    • Mydoom ファミリのワームが開いたバックドアポートに自分自身を送信
      
    • Optix ファミリのバックドアが開いたバックドアポートに自分自身を送信
      
    • Microsoft Windows DCOM RPC のインターフェイス・バッファ・オーバーフローの脆弱性 (BID 8205) を利用
      
    • Microsoft Windows Workstation サービスのリモート・バッファ・オーバーフローの脆弱性 (BID 9011) を利用
      
    • Microsoft Windows WebDAV のバッファ・オーバーフローの脆弱性 (BID 7116) を利用
      
    • Microsoft UPnP NOTIFY バッファ・オーバーフローの脆弱性 (BID 3723) を利用
      
    • Microsoft SQL Server Web タスク ストアド プロシージャで権限が昇格する脆弱性 (BID 5980) を利用
      
    • Microsoft Windows LSASS のリモート・バッファ・オーバーフローの脆弱性 (BID 10108) を利用
      
    
    
11. ネットワーク共有から、使用されている可能性のあるユーザ名を収集し、ハードコードされているユーザ名とパスワードのリストと組み合わせて試すことによって、自分自身をネットワーク共有にコピーしようとします。ハードコードされているユーザ名とパスワードのリストの内容は以下の通りです。
    
    ユーザ名:
    aaa
    abc
    Admin
    admin
    administrador
    Administrador
    Administrat
    Administrateur
    administrator
    admins
    anonymous
    asdf
    backup
    ball
    Benutzer
    bill
    black
    box
    calcolatore
    colin
    computadora
    computer
    Convidado
    Coordinatore
    data
    database
    Default
    Dell
    dick
    erik
    fuck
    Gast
    george
    Guest
    home
    Invit
    Inviter
    jim
    kanri
    kanri-sha
    karl
    kate
    lab
    mark
    mary
    master
    mgmt
    mike
    mypc
    mysql
    null
    OEM
    office
    oracle
    Ospite
    OWNER
    owner
    Owner
    patrick
    peter
    poop
    private
    qwer
    rat
    rio
    root
    sa
    secret
    server
    sex
    sped
    sped
    sql
    sqlagent
    sql-server
    stacey
    stacy
    Standard
    stefan
    steve
    steven
    student
    sybase
    system
    teacher
    temp
    Test
    tim
    tom
    user
    User
    Usu
    Utente
    Utilisateur
    Verwalter
    web
    webmaster
    win
    workplace
    wwwadmin
    xyz
    
    パスワード:
    !@#$
    !@#$%
    !@#$%^
    !@#$%^&
    !@#$%^&*
    000000
    00000000
    007
    110
    111
    111111
    11111111
    121212
    123
    123123
    1234
    12345
    123456
    1234567
    12345678
    123456789
    1234qwer
    123abc
    123asd
    123qwe
    2002
    2004
    2600
    54321
    654321
    666
    88888888
    abc123
    abcd
    ACCESS
    admin123
    ADMINISTRATOR
    alpha
    asdfgh
    asdfghjkl
    ASP
    baby
    backdoor
    BACKUP
    Box
    BOX
    box
    changeme
    CNN
    crash
    devil
    dude
    enable
    feds
    fish
    foobar
    fucked
    gay
    god
    godblessyou
    hax
    homework
    idiot
    ihavenopass
    Internet
    kids
    leet
    linux
    LOCAL
    Login
    lol
    love
    metal
    mybaby
    mybox
    mypass
    mypc
    noob
    oracle
    own
    owned
    pass
    PASSWD
    passwd
    password
    Password
    password123
    pat
    patrick
    penis
    PHP
    poiuytrewq
    porn
    private
    pussy
    pwd
    pwned
    qwerty
    qwertyuiop
    r00t
    red123
    ROOT
    rooted
    school
    secret
    secrets
    SERVER
    sex
    share
    super
    superman
    supersecret
    sybase
    SYSTEM
    TEMP
    TEST
    test123
    UNIX
    vagina
    werty
    wh0re
    whore
    windows2k
    windows98
    windowsME
    WindowsXP
    windoze
    work
    xxx
    xxyyzz
    yxcv
    zxcv
    zxcvbnm
    
    
12. リモートの共有にコピーしたワームを実行します。
    

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

以下の手順は、Symantec AntiVrus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

1. システムの復元機能を無効にします（Windows Me/XP の場合）。
   
2. ウイルス定義を最新版に更新します。
   
3. コンピュータをセーフモードまたは VGA モードで再起動します。
   
4. システム全体のスキャンを実行し、W32.Gaobot.AFC として検出されたファイルをすべて削除します。
   
5. レジストリに行われた変更を元に戻します。
   

• Windows Me のシステムの復元機能を有効/無効にする方法
  
• Windows XP のシステムの復元機能を有効/無効にする方法
  

• LiveUpdate を実行する方法。LiveUpdate^TM は、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdate を通じて配布されているウイルス定義ファイルは、Symantec Security Response の完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdate^TM サーバーにアップロードされます。この脅威に対応するウイルス定義が LiveUpdate を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。
  
• Intelligent Updater^TM を使用してウイルス定義をダウンロードする方法。Intelligent Updater^TM を通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日〜金曜日）に随時、更新、アップロードされています。Intelligent Updater^TM によるウイルス定義ファイルは、Symantec Security Response の Web サイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義が Intelligent Updater を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。
  
  Intelligent Updater のウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。
  

• Windows 95/98/Me/2000/XP をお使いの場合は、コンピュータをセーフモードで再起動してください。具体的な手順については、次のうち、ご使用の OS に該当するドキュメントをご覧ください。
  
  • Windows XP をセーフモードで起動する方法
    
  • Windows 2000 をセーフモードで起動する方法
    
  • Windows 9x または Windows Me をセーフモードで起動する方法
    
  
  
• Windows NT 4 をお使いの場合は、VGA モードで再起動してください。
  

1. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   • 個人のお客様向け NAV 製品をお使いの場合（パッケージ製品）：詳しくは、"すべてのファイルをウイルススキャンする手順"をご覧ください。
     
   • 企業・法人のお客様向け NAV 製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
2. システム全体のスキャンを実行します。
   
3. W32.Gaobot.AFC に感染しているファイルが検出されたら、[削除] をクリックします。
   

1. [スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。（[ファイル名を指定して実行] ダイアログボックスが表示されます。）
   
   
2. regedit と入力します。
   
   その後、[OK] をクリックします。（レジストリ エディタが開きます。）
   
   
3. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
   
4. 画面右側で、次の値を削除します。
   
   "System Updater Service=wmiprvsw.exe"
   
   
5. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   
   
6. 画面右側で、次の値を削除します。
   
   "System Updater Service=wmiprvsw.exe"
   
   
7. レジストリエディタを終了します。
   
   
8. コンピュータを通常モードで再起動します。具体的な手順については、次のうち、ご使用の OS に該当するドキュメントをご覧ください。
   
   
   • Windows XP をセーフモードで起動する方法
     
   • Windows 2000 をセーフモードで起動する方法
     
   • Windows 9x または Windows Me をセーフモードで起動する方法