W32.Gaobot.AJJ

日本サイト更新日: 2004年5月14日 20:47

W32.Gaobot.AJJ

発見日: 2004年5月11日 (米国時間)
最終更新日: 2004年5月14日 14:55

W32.Gaobot.AJJ は、オープンになっているネットワーク共有、および、Windows の以下の複数の脆弱性を通じて拡散するワームです。

DCOM RPC の脆弱性 (マイクロソフトセキュリティ情報 MS03-026 参照) を、TCP ポート 135 を使って悪用します。
WebDav の脆弱性 (マイクロソフトセキュリティ情報 MS03-007 参照) を、TCP ポート 80 を使って悪用します。
Workstation サービスのバッファ・オーバーランの脆弱性 (マイクロソフトセキュリティ情報 MS03-049 参照) を、TCP ポート 445 を使って悪用します。Windows XP をお使いの場合、MS03-043 のセキュリティ修正プログラムが適用済みであれば、この脆弱性にすでに対応しています。Windows 2000 をお使いの場合は必ず MS03-049 を適用してください。
UPnP NOTIFY の脆弱性 (マイクロソフトセキュリティ情報 MS01-059 参照) を悪用します。
Microsoft SQL Server 2000/MSDE 2000 の監査機能の脆弱性 (マイクロソフトセキュリティ情報 MS02-061 参照) を、UDP ポート 1434 を使って悪用します。
Microsoft Windows Local Security Authority Subsystem Service (LSASS) のバッファ・オーバーフローの脆弱性 (マイクロソフトセキュリティ情報 MS04-011 参照) を悪用します。

また、W32.Gaobot.AJJ は、Beagle ファミリや Mydoom ファミリのワームが開いたバックドアを通じて拡散します。

W32.Gaobot.AJJ はさらに、バックドアサーバ・プログラムとして動作し、他のシステムを攻撃する能力も備えています。このワームは、多数のウイルス対策ソフトやセキュリティ・アプリケーションのプロセスを停止させようとします。

種別: ワーム

影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

影響を受けないシステム: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX

被害状況

危険性評価グラフ

被害状況: 低	ダメージ: 中	感染力: 中

ダメージ

発症のタイミング: n/a
発病症状: n/a
- 大量メール送信: n/a
- ファイル削除: n/a
- ファイル改ざん: hosts ファイルを改ざんする。
- 秘密情報の漏洩: n/a
- パフォーマンス低下: n/a
- システムの不安定化: n/a
- 不正アクセス: 多数のセキュリティソフトウェアのプロセスを終了させる。システム全体のセキュリティを低下させる。

感染力

メール件名: n/a
添付ファイル: n/a
添付ファイルのタイムスタンプ: n/a
添付ファイルのサイズ: n/a
ポート: ランダムに選択した TCP ポートを通じて拡散する。
共有ドライブ: ネットワーク共有に自分自身をコピーする。
感染対象: n/a

W32.Gaobot.AJJ が実行されると、次のことを行います。

%System% ディレクトリに、自分自身を LSMAS.exe としてコピーします。ファイル名には別の名前が使用されることがあります。

注意: %System% は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
次のレジストリキーに、上記ファイルを参照する値を追加することによって、
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  
  Windows の起動時に必ずワームが実行されるように設定します。
%System%\drivers\etc\hosts ファイルに次の行を追加することによって、次の Web サイトへの接続の試みが失敗するようにします。

127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
多数のウイルス対策ソフトやセキュリティ・アプリケーションのプロセスを終了させようとします。この操作の対象となるプロセス名については、後述の「プロセス」セクションをご覧ください。
他のワームに関連のあるファイルやレジストリキーのファイルやレジストリキーを削除し、次のプロセスを終了させようとします。
- bbeagle.exe
- d3dupdate.exe
- winsys.exe
- ssate.exe
- Ssate.exe
- i11r54n4.exe
- rate.exe
- irun4.exe
ランダムに選択した TCP ポートを開き、そのポートに接続するプロセスすべてに自分自身のコピーを送信します。
リモートの IRC サーバに接続し、外部の攻撃者からのコマンドを待機します。
攻撃者はこのバックドアを通じて、感染先のコンピュータ上で次の操作を実行することができます。
- コマンドの実行
- FTP/HTTP を介したファイルの入手
- レジストリからデータを取得
- コンピュータの再起動
- プロセスの列挙
- 特定プロセスの終了
- Windows のサービスの終了
- HTTP/ICMP/SYN/UDP フラッド攻撃の実行
- コンピュータ上に保存されているメールアドレスの入手
- HTTP を介したメールアドレスのリストの取得
- 指定された URL の入手
- HTTP/FTP/IRC トラフィックの盗聴
- Windows のプロダクト ID や様々なコンピュータゲームの CD キーの窃盗
次の方法を用いて、他のシステムに拡散を試みます。
- Beagle ファミリのワームが開いたバックドアポートに自分自身を送信します。
- Mydoom ファミリのワームが開いたバックドアポートに自分自身を送信します。
- Microsoft Windows DCOM RPC のインターフェイス・バッファ・オーバーフローの脆弱性 (BID 8205) を悪用します。
- Microsoft Windows Workstation サービスのリモート・バッファ・オーバーランの脆弱性 (BID 9011) を悪用します。
- Microsoft Windows WebDav のバッファ・オーバーフローの脆弱性 (BID 7116)を悪用します。
- Microsoft UPnP NOTIFY バッファ・オーバーフローの脆弱性 (BID 3723) を悪用します。
- Microsoft SQL Server の Web タスクストアドプロシージャの特権昇格の脆弱性 (BID 5980) を悪用します。
- Microsoft Windows Local Security Authority Subsystem Service (LSASS) のリモート・バッファ・オーバーフローの脆弱性 (BID 10108) を悪用します。
次のリモート管理 SMB 共有を通じて、自分自身を他のコンピュータへコピーしようとします。
- admin$
- print$
- ipc$
- e$
- d$
- c$
- c
  
  その際、このワームは次のユーザ名とパスワードを使用します。
ユーザ名:
- "Administrator"
- "Administrateur"
- "Coordinatore"
- "Administrador"
- "Verwalter"
- "Ospite"
- "kanri"
- "kanri-sha"
- "admin"
- "administrator"
- "Default"
- "Convidado"
- "mgmt"
- "Standard"
- "User"
- "administrador"
- "Owner"
- "user"
- "server"
- "Test"
- "Guest"
- "Gast"
- "Inviter"
- "a"
- "aaa"
- "abc"
- "x"
- "xyz"
- "Dell"
- "home"
- "pc"
- "test"
- "temp"
- "win"
- "asdf"
- "qwer"
- "OEM"
- "root"
- "wwwadmin"
- "login"
- "owner"
- "mary"
- "mike"
- "george"
- "jim"
- "tim"
- "tom"
- "stacy"
- "stacey"
- "colin"
- "mark"
- "erik"
- "peter"
- "patrick"
- "bill"
- "steve"
- "dick"
- "stefan"
- "steven"
- "kate"
- "kt"
- "karl"
- "mypc"
- "admins"
- "computer"
- "xp"
- "OWNER"
- "mysql"
- "sql"
- "database"
- "teacher"
- "student"
パスワード:
- "admin"
- "Admin"
- "password"
- "Password"
- "12"
- "123"
- "1234"
- "beer"
- "!@#$"
- "asdfgh"
- "!@#$%"
- "!@#$%^"
- "!@#$%^&"
- "!@#$%^&*"
- "WindowsXP"
- "windows2k"
- "windowsME"
- "windows98"
- "windoze"
- "hax"
- "dude"
- "owned"
- "lol"
- "ADMINISTRATOR"
- "rooted"
- "noob"
- "TEMP"
- "share"
- "r00t"
- "freak"
- "ROOT"
- "TEST"
- "SYSTEM"
- "LOCAL"
- "SERVER"
- "ACCESS"
- "BACKUP"
- "computer"
- "fucked"
- "gay"
- "idiot"
- "Internet"
- "test"
- "2003"
- "2004"
- "backdoor"
- "whore"
- "wh0re"
- "CNN"
- "pwned"
- "own"
- "crash"
- "passwd"
- "PASSWD"
- "iraq"
- "devil"
- "linux"
- "UNIX"
- "feds"
- "fish"
- "changeme"
- "ASP"
- "PHP"
- "666"
- "BOX"
- "Box"
- "box"
- "12345"
- "123456"
- "1234567"
- "12345678"
- "123456789"
- "654321"
- "54321"
- "111"
- "000000"
- "00000000"
- "11111111"
- "88888888"
- "fanny"
- "pass"
- "passwd"
- "database"
- "abcd"
- "oracle"
- "sybase"
- "123qwe"
- "fool"
- "server"
- "computer"
- "Internet"
- "super"
- "123asd"
- "ihavenopass"
- "West"
- "godblessyou"
- "enable"
- "xp"
- "23"
- "2002"
- "2600"
- "0"
- "110"
- "2525"
- "newfy"
- "111111"
- "121212"
- "123123"
- "1234qwer"
- "123abc"
- "007"
- "alpha"
- "1776"
- "newfie"
- "patrick"
- "pat"
- "administrator"
- "root"
- "sex"
- "god"
- "foobar"
- "1778"
- "a"
- "aaa"
- "abc"
- "test"
- "temp"
- "win"
- "pc"
- "asdf"
- "secret"
- "drugs"
- "qwer"
- "yxcv"
- "zxcv"
- "home"
- "xxx"
- "owner"
- "login"
- "Login"
- "west"
- "Coordinatore"
- "Administrador"
- "Verwalter"
- "Ospite"
- "administrator"
- "Default"
- "administrador"
- "admins"
- "teacher"
- "student"
- "superman"
- "wmd"
- "supersecret"
- "kids"
- "penis"
- "wwwadmin"
- "database"
- "changeme"
- "dope"
- "test123"
- "user"
- "private"
- "69"
- "root"
- "654321"
- "xxyyzz"
- "asdfghjkl"
- "mybaby"
- "vagina"
- "pussy"
- "leet"
- "metal"
- "work"
- "school"
- "mybox"
- "box"
- "werty"
- "baby"
- "porn"
- "homework"
- "secrets"
- "x"
- "z"
- "bong"
- "qwertyuiop"
- "secret"
- "Administrateur"
- "abc123"
- "password123"
- "red123"
- "qwerty"
- "admin123"
- "zxcvbnm"
- "poiuytrewq"
- "pwd"
- "pass"
- "love"
- "mypc"
- "texas"
- "Texas"
- "Washington"
- "washington"
- "Tennessee"
- "tennessee"
- "jackdaniels"
- "whisky"
- "whiskey"
- "azerty"
- "poiut"
- "mouse"
- "ordinateur"
- "souris"
- "imprimeur"
- "cederom"
- "cTdTrom"
- "biFre"
- "biere"
- "moonshine"
- "athlon"
- "oil"
- "opteron"
- "Tcran"
- "ecran"
- "reseau"
- "carte"
- "merde"
- "mince"
- "ami"
- "amie"
- "copin"
- "copine"
- "42"
- "harry"
- "dumbledore"
- "hagrid"
- "potter"
- "hermione"
- "hermine"
- "gryffindor"
- "azkaban"
- "askaban"
- "cauldron"
- "buckbeak"
- "hogwarts"
- "dementor"
- "quidditch"
- "madre"
- "switch"
- "mypass"
- "pw"
認証に成功したリモート共有に自分自身をコピーし、それを実行します。
ネットワークジョブのスケジュールを、リモートシステム上でワームが実行されるように設定します。

プロセス

W32.Gaobot.AJJ が前述のステップ 4 で終了を試みるプロセスは、以下の通りです。

F-AGOBOT.EXE
HIJACKTHIS.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
ZONEALARM.EXE
ZONALM2601.EXE
ZATUTOR.EXE
ZAPSETUP3001.EXE
ZAPRO.EXE
XPF202EN.EXE
WYVERNWORKSFIREWALL.EXE
WUPDT.EXE
WUPDATER.EXE
WSBGATE.EXE
WRCTRL.EXE
WRADMIN.EXE
WNT.EXE
WNAD.EXE
WKUFIND.EXE
WINUPDATE.EXE
WINTSK32.EXE
WINSTART001.EXE
WINSTART.EXE
WINSSK32.EXE
WINSERVN.EXE
WINRECON.EXE
WINPPR32.EXE
WINNET.EXE
WINMAIN.EXE
WINLOGIN.EXE
WININITX.EXE
WININIT.EXE
WININETD.EXE
WINDOWS.EXE
WINDOW.EXE
WINACTIVE.EXE
WIN32US.EXE
WIN32.EXE
WIN-BUGSFIX.EXE
WIMMUN32.EXE
WHOSWATCHINGME.EXE
WGFE95.EXE
WFINDV32.EXE
WEBTRAP.EXE
WEBSCANX.EXE
WEBDAV.EXE
WATCHDOG.EXE
W9X.EXE
W32DSM89.EXE
VSWINPERSE.EXE
VSWINNTSE.EXE
VSWIN9XE.EXE
VSSTAT.EXE
VSMON.EXE
VSMAIN.EXE
VSISETUP.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCHED.EXE
VSCENU6.02D30.EXE
VSCAN40.EXE
VPTRAY.EXE
VPFW30S.EXE
VPC42.EXE
VPC32.EXE
VNPC3000.EXE
VNLAN300.EXE
VIRUSMDPERSONALFIREWALL.EXE
VIR-HELP.EXE
VFSETUP.EXE
VETTRAY.EXE
VET95.EXE
VET32.EXE
VCSETUP.EXE
VBWINNTW.EXE
VBWIN9X.EXE
VBUST.EXE
VBCONS.EXE
VBCMSERV.EXE
UTPOST.EXE
UPGRAD.EXE
UPDAT.EXE
UNDOBOOT.EXE
TVTMD.EXE
TVMD.EXE
TSADBOT.EXE
TROJANTRAP3.EXE
TRJSETUP.EXE
TRJSCAN.EXE
TRICKLER.EXE
TRACERT.EXE
TITANINXP.EXE
TITANIN.EXE
TGBOB.EXE
TFAK5.EXE
TFAK.EXE
TEEKIDS.EXE
TDS2-NT.EXE
TDS2-98.EXE
TDS-3.EXE
TCM.EXE
TCA.EXE
TC.EXE
TBSCAN.EXE
TAUMON.EXE
TASKMON.EXE
TASKMO.EXE
TASKMG.EXE
SYSUPD.EXE
SYSTEM32.EXE
SYSTEM.EXE
SYSEDIT.EXE
SYMTRAY.EXE
SYMPROXYSVC.EXE
SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
SWEEP95.EXE
SVSHOST.EXE
SVCHOSTS.EXE
SVCHOSTC.EXE
SVC.EXE
SUPPORTER5.EXE
SUPPORT.EXE
SUPFTRL.EXE
STCLOADER.EXE
START.EXE
ST2.EXE
SSG_4104.EXE
SSGRATE.EXE
SS3EDIT.EXE
SRNG.EXE
SREXE.EXE
SPYXX.EXE
SPOOLSV32.EXE
SPOOLCV.EXE
SPOLER.EXE
SPHINX.EXE
SPF.EXE
SPERM.EXE
SOFI.EXE
SOAP.EXE
SMSS32.EXE
SMS.EXE
SMC.EXE
SHOWBEHIND.EXE
SHN.EXE
UPDATE.EXE
SHELLSPYINSTALL.EXE
SH.EXE
SGSSFW32.EXE
SFC.EXE
SETUP_FLOWPROTECTOR_US.EXE
SETUPVAMEEVAL.EXE
SERVLCES.EXE
SERVLCE.EXE
SERVICE.EXE
SERV95.EXE
SD.EXE
SCVHOST.EXE
SCRSVR.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SCAM32.EXE
SC.EXE
SBSERV.EXE
SAVENOW.EXE
SAVE.EXE
SAHAGENT.EXE
SAFEWEB.EXE
RUXDLL32.EXE
RUNDLL16.EXE
RUNDLL.EXE
RUN32DLL.EXE
RULAUNCH.EXE
RTVSCN95.EXE
RTVSCAN.EXE
RSHELL.EXE
RRGUARD.EXE
RESCUE32.EXE
RESCUE.EXE
REGEDT32.EXE
REGEDIT.EXE
REGED.EXE
REALMON.EXE
RCSYNC.EXE
RB32.EXE
RAY.EXE
RAV8WIN32ENG.EXE
RAV7WIN.EXE
RAV7.EXE
RAPAPP.EXE
QSERVER.EXE
QCONSOLE.EXE
PVIEW95.EXE
PUSSY.EXE
PURGE.EXE
PSPF.EXE
PROTECTX.EXE
PROPORT.EXE
PROGRAMAUDITOR.EXE
PROCEXPLORERV1.0.EXE
PROCESSMONITOR.EXE
PROCDUMP.EXE
PRMVR.EXE
PRMT.EXE
PRIZESURFER.EXE
PPVSTOP.EXE
PPTBC.EXE
PPINUPDT.EXE
POWERSCAN.EXE
PORTMONITOR.EXE
PORTDETECTIVE.EXE
POPSCAN.EXE
POPROXY.EXE
POP3TRAP.EXE
PLATIN.EXE
PINGSCAN.EXE
PGMONITR.EXE
PFWADMIN.EXE
PF2.EXE
PERSWF.EXE
PERSFW.EXE
PERISCOPE.EXE
PENIS.EXE
PDSETUP.EXE
PCSCAN.EXE
PCIP10117_0.EXE
PCFWALLICON.EXE
PCDSETUP.EXE
PCCWIN98.EXE
PCCWIN97.EXE
PCCNTMON.EXE
PCCIOMON.EXE
PCC2K_76_1436.EXE
PCC2002S902.EXE
PAVW.EXE
PAVSCHED.EXE
PAVPROXY.EXE
PAVCL.EXE
PATCH.EXE
PANIXK.EXE
PADMIN.EXE
OUTPOSTPROINSTALL.EXE
OUTPOSTINSTALL.EXE
OTFIX.EXE
OSTRONET.EXE
OPTIMIZE.EXE
ONSRVR.EXE
OLLYDBG.EXE
NWTOOL16.EXE
NWSERVICE.EXE
NWINST4.EXE
NVSVC32.EXE
NVC95.EXE
NVARCH16.EXE
NUI.EXE
NTXconfig.EXE
NTVDM.EXE
NTRTSCAN.EXE
NT.EXE
NSUPDATE.EXE
NSTASK32.EXE
NSSYS32.EXE
NSCHED32.EXE
NPSSVC.EXE
NPSCHECK.EXE
NPROTECT.EXE
NPFMESSENGER.EXE
NPF40_TW_98_NT_ME_2K.EXE
NOTSTART.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NORMIST.EXE
NOD32.EXE
NMAIN.EXE
NISUM.EXE
NISSERV.EXE
NETUTILS.EXE
NETSTAT.EXE
NETSPYHUNTER-1.2.EXE
NETSCANPRO.EXE
NETMON.EXE
NETINFO.EXE
NETD32.EXE
NETARMOR.EXE
NEOWATCHLOG.EXE
NEOMONITOR.EXE
NDD32.EXE
NCINST4.EXE
NC2000.EXE
NAVWNT.EXE
NAVW32.EXE
NAVSTUB.EXE
NAVNT.EXE
NAVLU32.EXE
NAVENGNAVEX15.NAVLU32.EXE
NAVDX.EXE
NAVAPW32.EXE
NAVAPSVC.EXE
NAVAP.NAVAPSVC.EXE
AUTO-PROTECT.NAV80TRY.EXE
NAV.EXE
OUTPOST.EXE
NUPGRADE.EXE
N32SCANW.EXE
MWATCH.EXE
MU0311AD.EXE
MSVXD.EXE
MSSYS.EXE
MSSMMC32.EXE
MSMSGRI32.EXE
MSMGT.EXE
MSLAUGH.EXE
MSINFO32.EXE
MSIEXEC16.EXE
MSDOS.EXE
MSDM.EXE
MSCONFIG.EXE
MSCMAN.EXE
MSCCN32.EXE
MSCACHE.EXE
MSBLAST.EXE
MSBB.EXE
MSAPP.EXE
MRFLUX.EXE
MPFTRAY.EXE
MPFSERVICE.EXE
MPFAGENT.EXE
MOSTAT.EXE
MOOLIVE.EXE
MONITOR.EXE
MMOD.EXE
MINILOG.EXE
MGUI.EXE
MGHTML.EXE
MGAVRTE.EXE
MGAVRTCL.EXE
MFWENG3.02D30.EXE
MFW2EN.EXE
MFIN32.EXE
MD.EXE
MCVSSHLD.EXE
MCVSRTE.EXE
MCTOOL.EXE
MCSHIELD.EXE
MCMNHDLR.EXE
MCAGENT.EXE
MAPISVC32.EXE
LUSPT.EXE
LUINIT.EXE
LUCOMSERVER.EXE
LUAU.EXE
LSETUP.EXE
LORDPE.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
LOCKDOWN.EXE
LOCALNET.EXE
LOADER.EXE
LNETINFO.EXE
LDSCAN.EXE
LDPROMENU.EXE
LDPRO.EXE
LDNETMON.EXE
LAUNCHER.EXE
KILLPROCESSSETUP161.EXE
KERNEL32.EXE
KERIO-WRP-421-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-PF-213-EN-WIN.EXE
KEENVALUE.EXE
KAZZA.EXE
KAVPF.EXE
KAVPERS40ENG.EXE
KAVLITE40ENG.EXE
JEDI.EXE
JDBGMRG.EXE
JAMMER.EXE
ISTSVC.EXE
MCUPDATE.EXE
LUALL.EXE
ISRV95.EXE
ISASS.EXE
IRIS.EXE
IPARMOR.EXE
IOMON98.EXE
INTREN.EXE
INTDEL.EXE
INIT.EXE
INFWIN.EXE
INFUS.EXE
INETLNFO.EXE
IFW2000.EXE
IFACE.EXE
IEXPLORER.EXE
IEDRIVER.EXE
IEDLL.EXE
IDLE.EXE
ICSUPPNT.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSTATS.EXE
IAMSERV.EXE
IAMAPP.EXE
HXIUL.EXE
HXDL.EXE
HWPE.EXE
HTPATCH.EXE
HTLOG.EXE
HOTPATCH.EXE
HOTACTIO.EXE
HBSRV.EXE
HBINST.EXE
HACKTRACERSETUP.EXE
GUARDDOG.EXE
GUARD.EXE
GMT.EXE
GENERICS.EXE
GBPOLL.EXE
GBMENU.EXE
GATOR.EXE
FSMB32.EXE
FSMA32.EXE
FSM32.EXE
FSGK32.EXE
FSAV95.EXE
FSAV530WTBYB.EXE
FSAV530STBYB.EXE
FSAV32.EXE
FSAV.EXE
FSAA.EXE
FRW.EXE
FPROT.EXE
FP-WIN_TRIAL.EXE
FP-WIN.EXE
FNRB32.EXE
FLOWPROTECTOR.EXE
FIREWALL.EXE
FINDVIRU.EXE
FIH32.EXE
FCH32.EXE
FAST.EXE
FAMEH32.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
EXPLORE.EXE
EXPERT.EXE
EXE.AVXW.EXE
EXANTIVIRUS-CNET.EXE
EVPN.EXE
ETRUSTCIPE.EXE
ETHEREAL.EXE
ESPWATCH.EXE
ESCANV95.EXE
ICSUPP95.EXE
ESCANHNT.EXE
ESCANH95.EXE
ESAFE.EXE
ENT.EXE
EMSW.EXE
EFPEADM.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
DSSAGENT.EXE
DRWEBUPW.EXE
DRWEB32.EXE
DRWATSON.EXE
DPPS2.EXE
DPFSETUP.EXE
DPF.EXE
DOORS.EXE
DLLREG.EXE
DLLCACHE.EXE
DIVX.EXE
DEPUTY.EXE
DEFWATCH.EXE
DEFSCANGUI.EXE
DEFALERT.EXE
DCOMX.EXE
DATEMANAGER.EXE
Claw95.EXE
CWNTDWMO.EXE
CWNB181.EXE
CV.EXE
CTRL.EXE
CPFNT206.EXE
CPF9X206.EXE
CPD.EXE
CONNECTIONMONITOR.EXE
CMON016.EXE
CMGRDIAN.EXE
CMESYS.EXE
CMD32.EXE
CLICK.EXE
CLEANPC.EXE
CLEANER3.EXE
CLEANER.EXE
CLEAN.EXE
CFINET32.EXE
CFINET.EXE
CFIADMIN.EXE
CFGWIZ.EXE
CFD.EXE
CDP.EXE
CCPXYSVC.EXE
CCEVTMGR.EXE
CCAPP.EXE
BVT.EXE
BUNDLE.EXE
BS120.EXE
BRASIL.EXE
BPC.EXE
BORG2.EXE
BOOTWARN.EXE
BOOTCONF.EXE
BLSS.EXE
BLACKICE.EXE
BLACKD.EXE
BISP.EXE
BIPCPEVALSETUP.EXE
BIPCP.EXE
BIDSERVER.EXE
BIDEF.EXE
BELT.EXE
BEAGLE.EXE
BD_PROFESSIONAL.EXE
BARGAINS.EXE
BACKWEB.EXE
CLAW95CF.EXE
CFIAUDIT.EXE
AVXMONITORNT.EXE
AVXMONITOR9X.EXE
AVWUPSRV.EXE
AVWUPD.EXE
AVWINNT.EXE
AVWIN95.EXE
AVSYNMGR.EXE
AVSCHED32.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVLTMAIN.EXE
AVKWCTl9.EXE
AVKSERVICE.EXE
AVKSERV.EXE
AVKPOP.EXE
AVGW.EXE
AVGUARD.EXE
AVGSERV9.EXE
AVGSERV.EXE
AVGNT.EXE
AVGCTRL.EXE
AVGCC32.EXE
AVE32.EXE
AVCONSOL.EXE
AU.EXE
ATWATCH.EXE
ATRO55EN.EXE
ATGUARD.EXE
ATCON.EXE
ARR.EXE
APVXDWIN.EXE
APLICA32.EXE
APIMONITOR.EXE
ANTS.EXE
ANTIVIRUS.EXE
ANTI-TROJAN.EXE
AMON9X.EXE
ALOGSERV.EXE
ALEVIR.EXE
ALERTSVC.EXE
AGENTW.EXE
AGENTSVR.EXE
ADVXDWIN.EXE
ADAWARE.EXE
AVXQUAR.EXE
ACKWIN32.EXE
AVWUPD32.EXE
AVPUPD.EXE
AUTOUPDATE.EXE
AUTOTRACE.EXE
AUTODOWN.EXE
AUPDATE.EXE
ATUPDATER.EXE
TASKMON.EXE

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
従業員に対し、次のことを徹底させる。
- 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
- インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
- 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

以下の手順は、Symantec AntiVrus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

システムの復元機能を無効にします（Windows Me/XP の場合）。
Windows Hosts ファイルに追加された行を削除します。
ウイルス定義を最新版に更新します。
コンピュータをセーフモードまたは VGA モードで再起動します。
システム全体のスキャンを実行し、W32.Gaobot.AJJ として検出されたファイルをすべて削除します。
レジストリに行われた変更を元に戻します。

具体的な手順については、以下のセクションをご覧ください。

1. システムの復元オプションを無効にする (Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455 をご覧ください。

2. Windows Hosts ファイルから、追加された行を削除する

注意: Hosts ファイルはすべてのコンピュータ上に存在するわけではありません。また、存在する場合でも、格納先は OS によって異なります。例えば、Windows 98の場合は C:\Windows フォルダに、Windows 2000 の場合は、C:\WINNT\system32\drivers\etc フォルダに格納されています。また、このファイルのコピーが様々な場所に保存されていることもあります。

次のうち、お使いの OS に応じた手順を実行してください。

Windows 95/98/Me/NT/2000
1. [スタート] ボタンをクリックし、[検索] をポイントし、[ファイルやフォルダ] をクリックします。
2. [探す場所] が (C:) に指定され、[サブフォルダも探す] にチェックが付いていることを確認します。
3. [名前] または [含まれる文字列] ボックスに、次のファイル名を入力します。
  
  hosts
4. [検索開始] をクリックします。
5. 発見したファイルごとに、ファイルを右クリックし、[アプリケーションから開く] をクリックします。
6. [これらのファイルを開くときは、いつもこのアプリケーションを使う] チェックボックスの選択を解除します。
7. プログラムリストをスクロールし、[Notepad] (メモ帳) をダブルクリックします。
8. ファイルが開いたら、Hosts ファイル内の、次の行を除く全エントリを削除します。
  
  127.0.0.1 localhost
9. メモ帳プログラムを閉じ、保存の確認メッセージが表示されたら変更内容を保存します。
Windows XP
1. [スタート] ボタンを押し、[検索] をクリックします。
2. [ファイルとフォルダすべて] をクリックします。
3. [ファイル名のすべてまたは一部] ボックスに、次のファイル名を入力します。
  
  hosts
4. [探す場所]が "ローカルハードドライブ" または (C:) に指定されていることを確認します。
5. [詳細設定オプション] をクリックします。
6. [システムフォルダの検索] にチェックを付けます。
7. [サブフォルダの検索] にチェックを付けます。
8. [検索] をクリックします。
9. [検索開始] をクリックします。
10. 発見したファイルごとに、ファイルを右クリックし、[プログラムから開く] をクリックします。
11. [この種類のファイルを開くときは、選択したプログラムをいつも使う] チェックボックスの選択を解除します。
12. プログラムリストをスクロールし、[Notepad] (メモ帳) をダブルクリックします。
13. ファイルが開いたら、Hosts ファイル内の、次の行を除く全エントリを削除します。
  
  127.0.0.1 localhost
14. メモ帳プログラムを閉じ、保存の確認メッセージが表示されたら変更内容を保存します。

3. ウイルス定義を更新する
ウイルス定義ファイルはすべて、Symantec Security Response による完全品質保証テストを通過した後で弊社サーバーにアップロードされています。最新版のウイルス定義は次の 2 通りの方法で入手できます。

LiveUpdate を実行する方法。LiveUpdate^TM は、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdate を通じて配布されているウイルス定義ファイルは、Symantec Security Response の完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdate^TM サーバーにアップロードされます。この脅威に対応するウイルス定義が LiveUpdate を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。
Intelligent Updater^TM を使用してウイルス定義をダウンロードする方法。Intelligent Updater^TM を通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日～金曜日）に随時、更新、アップロードされています。Intelligent Updater^TM によるウイルス定義ファイルは、Symantec Security Response の Web サイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義が Intelligent Updater を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。

Intelligent Updater のウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。

4. コンピュータをセーフモードまたは VGA モードで再起動する
コンピュータをシャットダウンし、電源を切り、少なくとも 30 秒間待ちます。その後、コンピュータをセーフモードまたは VGA モードで再起動します。

Windows 95/98/Me/2000/XP をお使いの場合は、コンピュータをセーフモードで再起動してください。具体的な手順については、次のうち、ご使用の OS に該当するドキュメントをご覧ください。
Windows NT 4 をお使いの場合は、VGA モードで再起動してください。

5. 感染ファイルを探して削除する

Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。
- 個人のお客様向け NAV 製品をお使いの場合（パッケージ製品）：詳しくは、"すべてのファイルをウイルススキャンする手順"をご覧ください。
- 企業・法人のお客様向け NAV 製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
システム全体のスキャンを実行します。
W32.Gaobot.AJJ に感染しているファイルが検出されたら、ファイル名とパスを書き留め、その後、[削除] をクリックします。

6. レジストリに行われた変更を元に戻す

[スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。（[ファイル名を指定して実行] ダイアログボックスが表示されます。）
regedit と入力します。

その後、[OK] をクリックします。（レジストリエディタが開きます。）
次のレジストリキーを選択します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
画面右側で、（上記ステップ 5 で検出された）ワームファイルを指す全ての値を削除します。
次のレジストリキーを選択します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

そして、ステップ d を繰り返します。
次のレジストリキーを選択します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
メニューバーの「編集」 -> 「検索」をクリックし、次の"値"を探します。

-service
値が見つかった場合、その形式を確認してください。

<キーの名前> = "%System%\<ワームのファイル名>" -service

(ワームのファイル名は、ステップ 5 で検出されたものと同様です)

例えば

"Configuration Loader" = "C:\WINNT\SYSTEM32\Service.exe" -service あるいは
"ImagePath" = "C:\WINNT\System32\lms.exe" -service

この場合、値を含むサブキーを削除します。

例えば

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a3

注意: 全ての亜種がこのキーを作成することはありません。

-service の値が無くなるまで検索し、上記のステップを繰り返します。
レジストリエディタを終了します。