W32.Gaobot.RB

日本サイト更新日: 2004年5月28日 18:00

W32.Gaobot.RB

発見日: 2004年5月26日 (米国時間)
最終更新日: 2004年5月27日 10:28 (米国時間)

W32.Gaobot.RB は、W32.HLLW.Gaobot の亜種であり、ネットワーク共有に拡散しようとするワームです。このワームは、IRC チャネルを介して感染先のコンピュータへ不正にアクセスできるようにします。

W32.Gaobot.RB は、次の複数の脆弱性を悪用して拡散します。

DCOM RPC の脆弱性 (マイクロソフトセキュリティ情報 MS03-026 参照) を、TCP ポート 135 を使って悪用します。
RPC locator の脆弱性 (マイクロソフトセキュリティ情報 MS03-001 参照) を、TCP ポート 445 を使って悪用します。
WebDav の脆弱性 (マイクロソフトセキュリティ情報 MS03-007 参照) を、TCP ポート 80 を使って悪用します。

W32.Gaobot.RB は、ASPack、IHMOWrap3、および、UPX で圧縮されています。

注意: 2004 年 3 月 17 日付のウイルス定義は、この脅威は W32.HLLW.Gaobot.gen として検出します。

別名: W32/Gaobot.worm.gen.e [McAfee]

亜種: W32.HLLW.Gaobot

種別: ワーム

感染サイズ: 72,704 バイト

影響を受けるシステム: Windows 2000, Windows NT, Windows XP

影響を受けないシステム: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me

対応日(Intelligent Updater)*
2004/05/27(米国時間)

対応日(Live Update^TM)**
2004/06/02(米国時間)

* Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。

** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。
LiveUpdateの使い方については、こちらをクリックしてください。

被害状況

感染台数: 1000以上
報告件数: 10以上
地域感染度: 低
対処レベル: 高
駆除: 普通

危険性評価グラフ

被害状況: 低	ダメージ: 中	感染力: 中

ダメージ

発症のタイミング: n/a
発病症状: n/a
- 大量メール送信: n/a
- ファイル削除: n/a
- ファイル改ざん: n/a
- 秘密情報の漏洩: 不正なリモートアクセスを許可する。一部の人気コンピュータゲームの CD キーを盗む。
- パフォーマンス低下: n/a
- システムの不安定化: n/a
- 不正アクセス: ウイルス対策ソフトやファイアウォールに関連のあるプロセスを終了させる。

感染力

メール件名: n/a
添付ファイル: n/a
添付ファイルのタイムスタンプ: n/a
添付ファイルのサイズ: n/a
ポート: TCP ポート 135, 445, 80。IRC サーバーにポート 6667 で外部接続
共有ドライブ: 安易なパスワードが設定されているネットワーク共有に自分自身をコピーしようとする。
感染対象: 安易なパスワードが設定されているアカウント。DCOM RPC の脆弱性もしくは RPC locator の脆弱性に対応した修正プログラムが未適用のシステム。

W32.Gaobot.RB が実行されると、次のことを行います。

自分自身を %System%\Explore.exe としてコピーします。

注意: %System% は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
次の値を

"Window"="explore.exe"

次のレジストリキーに追加することによって、

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Windows の起動時に必ずワームが実行されるように設定します。
TCP ポートランダムに選んで開き、攻撃者に接続します。
独自の IRC クライアントを使用して事前に指定されている IRC チャネルに接続し、攻撃者からのコマンドを待機します。
攻撃者はワームにコマンドを送信することによって、感染先のコンピュータを遠隔制御し、次のような操作を実行できるようになります。
- ワームのインストール管理
- インストールされているワームの動的な更新
- ファイルのダウンロードと実行
- 侵入先システムに関する情報の窃盗
- 他の IRC ユーザへワームを送信
- ハッカー用のアカウントを追加
DCOM RPC の脆弱性を悪用するデータを TCP ポート 135 に送信するか、あるいは、RPC locator の脆弱性を悪用するデータを TCP ポート 445 に送信します。
次の共有を
- admin$
- c$
- d$
- e$
- print$
  
  次のユーザ名とパスワードの組み合わせ、および、NetUserEnum() APIを使用することによってリモートコンピュータ上で発見したユーザ名を使って探索し、接続を試みます。
ユーザ名:
- a
- aaa
- abc
- admin
- administrador
- Administrador
- Administrateur
- administrator
- Administrator
- admins
- asdf
- computer
- Convidado
- Coordinatore
- database
- Default
- Dell
- Gast
- Guest
- home
- Inviter
- kanri
- kanri-sha
- login
- mary
- mgmt
- mysql
- OEM
- Ospite
- owner
- Owner
- OWNER
- pc
- qwer
- root
- server
- Standard
- student
- teacher
- temp
- test
- Test
- user
- User
- Verwalter
- win
- wwwadmin
- x
- xp
- xyz
パスワード:
- 0
- 000000
- 00000000
- 007
- 1
- 110
- 111
- 111111
- 11111111
- 12
- 121212
- 123
- 123123
- 1234
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 1234qwer
- 123abc
- 123asd
- 123qwe
- 2002
- 2003
- 2600
- 54321
- 654321
- 69
- 88888888
- a
- aaa
- abc
- abc123
- abcd
- Admin
- admin123
- Administrador
- administrador
- Administrateur
- administrator
- admins
- alpha
- asdf
- asdfghjkl
- baby
- box
- changeme
- computer
- Coordinatore
- database
- Default
- enable
- foobar
- god
- godblessyou
- home
- homework
- ihavenopass
- Internet
- kids
- leet
- login
- Login
- love
- metal
- mybaby
- mybox
- mypass
- mypc
- oracle
- Ospite
- owner
- pass
- passwd
- password
- Password
- password123
- pat
- patrick
- pc
- poiuytrewq
- private
- pw
- pwd
- qwer
- qwerty
- qwertyuiop
- red123
- root
- school
- secret
- secrets
- server
- student
- super
- superman
- sybase
- teacher
- temp
- test
- test123
- user
- Verwalter
- werty
- win
- work
- x
- xp
- xxx
- xxyyzz
- yxcv
- z
- zxcv
- zxcvbnm
脆弱なコンピュータへ接続後、新たなコンピュータに自分自身をコピーし、実行します。
次のゲームの CD キーを盗みます。
- Windows のプロダクト ID
- Hidden & Dangerous 2
- Soldier of Fortune II - Double Helix
- Neverwinter
- Nox
- Tiberian Sun
- Red Alert 2
- Red Alert
- Project IGI 2
- Command & Conquer Generals
- Battlefield 1942 Secret Weapons of WWII
- Battlefield 1942 The Road to Rome
- Battlefield 1942
- Nascar Racing 2003
- Nascar Racing 2002
- NHL 2003
- NHL 2002
- FIFA 2003
- FIFA 2002
- Need For Speed Hot Pursuit 2
- The Gladiators
- Unreal Tournament 2003
- Legends of Might and Magic
- Counter-Strike
- Half-Life
動作中のプロセスを調べ、プロセス名がワームが持っているリストに含まれているものと一致するプロセスを発見すると、それらのプロセスの停止を試みます。そのリストに含まれているプロセス名の大半は、ファイアウォールやウイルス対策ソフトで使用されているプロセスです。そのリストに記載されているプロセス名については、このセクションの末尾をご覧ください。
次のプロセスが動作中の場合、それらの終了を試みます。これらのプロセスは他のワームによって投下されたプロセスです。
- winhlpp32.exe
- tftpd.exe
- dllhost.exe
- penis32.exe
- winppr32.exe
- mspatch.exe
- msblast.exe
次のサービス拒否 (DoS) 攻撃を仕掛けようとします。
- HTTP
- SYN
- ICMP
- UDP

W32.Gaobot.RB　が停止を試みるプロセス:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
AckWin32.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
agentw.EXE
ALERTSVC.EXE
ALOGSERV.EXE
AMON9X.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
apvxdwin.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AutoTrace.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCC32.EXE
Avgctrl.EXE
AVGCTRL.EXE
AVGNT.EXE
AVGSERV.EXE
AvgServ.EXE
AVGSERV9.EXE
AVGUARD.EXE
AVGW.EXE
avkpop.EXE
AvkServ.EXE
avkservice.EXE
avkwctl9.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
avpm.EXE
AVPTC32.EXE
AVPUPD.EXE
Avsched32.EXE
AvSynMgr.AVSYNMGR.EXE
AVWIN95.EXE
AVWINNT.EXE
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
blackd.EXE
BLACKD.EXE
BlackICE.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
ccApp.EXE
ccEvtMgr.EXE
ccPxySvc.EXE
CDP.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
Claw95.EXE
CLAW95CF.EXE
Claw95cf.EXE
CLEAN.EXE
CLEANER.EXE
cleaner.EXE
CLEANER3.EXE
cleaner3.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMON016.EXE
CONNECTIONMONITOR.EXE
CPD.EXE
cpd.EXE
CPF9X206.EXE
CPFNT206.EXE
CTRL.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
defalert.EXE
defscangui.EXE
DEFWATCH.EXE
DEPUTY.EXE
DOORS.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
DRWEB32.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EFPEADM.EXE
ENT.EXE
ESAFE.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
ESPWATCH.EXE
ETRUSTCIPE.EXE
EVPN.EXE
EXANTIVIRUS-CNET.EXE
EXE.AVXW.EXE
EXPERT.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
f-stopw.EXE
F-STOPW.EXE
fameh32.EXE
FAST.EXE
fch32.EXE
fih32.EXE
FINDVIRU.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
fnrb32.EXE
FP-WIN.EXE
FP-WIN_TRIAL.EXE
FPROT.EXE
FRW.EXE
fsaa.EXE
FSAV.EXE
fsav32.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
fsgk32.EXE
fsm32.EXE
fsma32.EXE
fsmb32.EXE
gbmenu.EXE
GBMENU.EXE
GBPOLL.EXE
gbpoll.EXE
GENERICS.EXE
GUARD.EXE
GUARDDOG.EXE
HACKTRACERSETUP.EXE
HTLOG.EXE
HWPE.EXE
IAMAPP.EXE
iamapp.EXE
IAMSERV.EXE
iamserv.EXE
IAMSTATS.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IFW2000.EXE
IOMON98.EXE
IPARMOR.EXE
IRIS.EXE
ISRV95.EXE
JAMMER.EXE
JEDI.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KAVPF.EXE
KERIO-PF-213-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-WRP-421-EN-WIN.EXE
KILLPROCESSSETUP161.EXE
LDNETMON.EXE
LDPRO.EXE
LDPROMENU.EXE
LDSCAN.EXE
LOCALNET.EXE
LOCKDOWN.EXE
lockdown2000.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LSETUP.EXE
LUALL.EXE
LUAU.EXE
LUCOMSERVER.EXE
LUINIT.EXE
LUSPT.EXE
MCAGENT.EXE
MCMNHDLR.EXE
Mcshield.EXE
MCTOOL.EXE
MCUPDATE.EXE
MCVSRTE.EXE
MCVSSHLD.EXE
MFW2EN.EXE
MFWENG3.02D30.EXE
MGAVRTCL.EXE
MGAVRTE.EXE
MGHTML.EXE
MGUI.EXE
MINILOG.EXE
MONITOR.EXE
Monitor.EXE
MOOLIVE.EXE
MPFAGENT.EXE
MPFSERVICE.EXE
MPFTRAY.EXE
MRFLUX.EXE
MSCONFIG.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
MWATCH.EXE
N32SCANW.EXE
NAV Auto-Protect.NAV80TRY.EXE
NAVAP.navapsvc.EXE
NAVAPSVC.EXE
NAVAPW32.EXE
NAVDX.EXE
NAVENGNAVEX15.NAVLU32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSTUB.EXE
NAVW32.EXE
Navw32.EXE
NAVWNT.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEOMONITOR.EXE
NeoWatchLog.EXE
NETARMOR.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NETUTILS.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
NOD32.EXE
NORMIST.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
notstart.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
npscheck.EXE
NPSSVC.EXE
NSCHED32.EXE
ntrtscan.EXE
NTVDM.EXE
NTXconfig.EXE
Nui.EXE
Nupgrade.EXE
NVARCH16.EXE
NVC95.EXE
nvsvc32.EXE
NWINST4.EXE
NWService.EXE
NWTOOL16.EXE
OSTRONET.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
PADMIN.EXE
PANIXK.EXE
PAVCL.EXE
PAVPROXY.EXE
pavproxy.EXE
PAVSCHED.EXE
PAVW.EXE
PCC2002S902.EXE
PCC2K_76_1436.EXE
PCCIOMON.EXE
pccntmon.EXE
pccwin97.EXE
PCCWIN98.EXE
PCDSETUP.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
pcscan.EXE
PDSETUP.EXE
PERISCOPE.EXE
PERSFW.EXE
PERSWF.EXE
PF2.EXE
PFWADMIN.EXE
PINGSCAN.EXE
PLATIN.EXE
POP3TRAP.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PORTMONITOR.EXE
PPINUPDT.EXE
PPTBC.EXE
PPVSTOP.EXE
PROCESSMONITOR.EXE
PROCEXPLORERV1.0.EXE
PROGRAMAUDITOR.EXE
PROPORT.EXE
PROTECTX.EXE
PSPF.EXE
PURGE.EXE
PVIEW95.EXE
QCONSOLE.EXE
QSERVER.EXE
rapapp.EXE
RAV7.EXE
RAV7WIN.EXE
RAV8WIN32ENG.EXE
REALMON.EXE
REGEDIT.EXE
REGEDT32.EXE
RESCUE.EXE
RESCUE32.EXE
RRGUARD.EXE
RSHELL.EXE
rtvscan.EXE
RTVSCN95.EXE
RULAUNCH.EXE
SAFEWEB.EXE
sbserv.EXE
SBSERV.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SD.EXE
SERV95.EXE
SETUP_FLOWPROTECTOR_US.EXE
SETUPVAMEEVAL.EXE
SFC.EXE
SGSSFW32.EXE
SH.EXE
SHELLSPYINSTALL.EXE
SHN.EXE
SMC.EXE
SOFI.EXE
SPF.EXE
Sphinx.EXE
SPHINX.EXE
SPYXX.EXE
SS3EDIT.EXE
ST2.EXE
SUPFTRL.EXE
SUPPORTER5.EXE
SWEEP95.EXE
SweepNet.SWEEPSRV.SYS.SWNETSUP.EXE
SymProxySvc.EXE
SYMPROXYSVC.EXE
SYMTRAY.EXE
SYSEDIT.EXE
TASKMON.EXE
TAUMON.EXE
TBSCAN.EXE
TC.EXE
TCA.EXE
TCM.EXE
TDS-3.EXE
TDS2-98.EXE
TDS2-NT.EXE
TFAK.EXE
TFAK5.EXE
TGBOB.EXE
TITANIN.EXE
TITANINXP.EXE
TRACERT.EXE
TRJSCAN.EXE
TRJSETUP.EXE
TROJANTRAP3.EXE
UNDOBOOT.EXE
UPDATE.EXE
VBCMSERV.EXE
vbcmserv.EXE
VbCons.EXE
VBCONS.EXE
VBUST.EXE
VBWIN9X.EXE
VBWINNTW.EXE
VCSETUP.EXE
VET32.EXE
VET95.EXE
Vet95.EXE
VetTray.EXE
VETTRAY.EXE
VFSETUP.EXE
VIR-HELP.EXE
VIRUSMDPERSONALFIREWALL.EXE
VNLAN300.EXE
VNPC3000.EXE
VPC32.EXE
VPC42.EXE
VPFW30S.EXE
VPTRAY.EXE
VSCAN40.EXE
VSCENU6.02D30.EXE
VSCHED.EXE
VSECOMR.EXE
vshwin32.EXE
VSISETUP.EXE
VSMAIN.EXE
vsmon.EXE
VSMON.EXE
VSSTAT.EXE
VSWIN9XE.EXE
VSWINNTSE.EXE
VSWINPERSE.EXE
W32DSM89.EXE
W9X.EXE
WATCHDOG.EXE
WEBSCANX.EXE
WEBTRAP.EXE
WFINDV32.EXE
WGFE95.EXE
WHOSWATCHINGME.EXE
WIMMUN32.EXE
WINRECON.EXE
WNT.EXE
WrAdmin.EXE
WRADMIN.EXE
WrCtrl.EXE
WRCTRL.EXE
WSBGATE.EXE
WYVERNWORKSFIREWALL.EXE
XPF202EN.EXE
ZAPRO.EXE
zapro.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZAUINST.EXE
ZONALM2601.EXE
zonealarm.EXE
ZONEALARM.EXE

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
従業員に対し、次のことを徹底させる。
- 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
- インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
- 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

以下の手順は、Symantec AntiVrus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

システムの復元機能を無効にします（Windows Me/XP の場合）。
ウイルス定義を最新版に更新します。
コンピュータをセーフモードで再起動します。
システム全体のスキャンを実行し、W32.Gaobot.RB として検出されたファイルをすべて削除します。
レジストリに追加された値を削除します。

具体的な手順については、以下のセクションをご覧ください。

1. システムの復元オプションを無効にする (Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455 をご覧ください。

2. ウイルス定義を更新する
ウイルス定義ファイルはすべて、Symantec Security Response による完全品質保証テストを通過した後で弊社サーバーにアップロードされています。最新版のウイルス定義は次の 2 通りの方法で入手できます。

LiveUpdate を実行する方法。LiveUpdate^TM は、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdate を通じて配布されているウイルス定義ファイルは、Symantec Security Response の完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdate^TM サーバーにアップロードされます。この脅威に対応するウイルス定義が LiveUpdate を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。
Intelligent Updater^TM を使用してウイルス定義をダウンロードする方法。Intelligent Updater^TM を通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日～金曜日）に随時、更新、アップロードされています。Intelligent Updater^TM によるウイルス定義ファイルは、Symantec Security Response の Web サイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義が Intelligent Updater を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。

Intelligent Updater のウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。

3. コンピュータをセーフモードで再起動する
コンピュータをシャットダウンし、電源を切り、少なくとも 30 秒間待ちます。その後、コンピュータをセーフモードで再起動します。具体的な手順については、次のうち、ご使用の OS に該当するドキュメントをご覧ください。

4. 感染ファイルを探して削除する

Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。
- 個人のお客様向け NAV 製品をお使いの場合（パッケージ製品）：詳しくは、"すべてのファイルをウイルススキャンする手順"をご覧ください。
- 企業・法人のお客様向け NAV 製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
システム全体のスキャンを実行します。
W32.Gaobot.RB に感染しているファイルが検出されたら、[削除] をクリックします。

5. レジストリから値を削除する

注意： システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。

[スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。（[ファイル名を指定して実行] ダイアログボックスが表示されます。）
regedit と入力します。

その後、[OK] をクリックします。（レジストリエディタが開きます。）
次のレジストリキーを選択します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
画面右側で、次の値を削除します。

"Window"="explore.exe"
次のレジストリキーを選択します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
画面右側で、次の値を削除します。

"Window"="explore.exe"
レジストリエディタを終了します。
コンピュータを通常モードで再起動します。具体的な手順については、次のうち、ご使用の OS に該当するドキュメントをご覧ください。