W32.HLLW.Gaobot は、自分自身を%system%\Sysldr32.exeとしてコピーするワームです。

このワームはIRCサーバーに接続してハッカーからのコマンドを待機します。標準ではこのワームはポート6,667とポート9,900で接続するように設定されています。このワームがサポートしているコマンドには、KaZaA、Bearshare、Groksterといった一般的なファイル共有プログラムを使って自分自身の感染を拡大するためのコマンドが含まれています。このワームは共有ファイル名として次のようなファイル名を使用します。

• Kylie Minogue is very horny atm - XXX.exe
  
• Cameron Diaz's webcam - cracked access - no cost - XXX.exe
  
• Hoyle Card Games 2003 crack (all versions).exe
  
• Warcraft 3 - Cable Modem Playfix.exe
  
• Delta Force Black Hawk Down - Item Hack.exe
  

また、このワームはリモートコンピュータにポート445で接続可能にするユーティリティを使用してネットワーク上の全コンピュータにも感染拡大を試みます。その場合、ネットワーク上の全コンピュータにWoingg.exeをコピーし、実行します。

別名: W32/Gaobot.worm [McAfee]

種別: ワーム

感染サイズ: 111,616 バイト

影響を受けるシステム: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

影響を受けないシステム: Macintosh, OS/2, Unix, Linux

対応日(Intelligent Updater)* 02/10/22(米国時間) 対応日(Live UpdateTM)** 02/10/23(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 0-49 報告件数: 0-2 地域感染度: 低 対処レベル: 高 駆除: 普通

危険性評価グラフ 被害状況: 低 ダメージ: 中 感染力: 中

ダメージ

• 発病症状:
  • パフォーマンス低下: 結果的にネットワーク速度が低下するような方法でリモートマシンへ自分自身をコピーする。
    
  • 不正アクセス: 影響を受けているマシン上でユーザに無断で不正操作を行う。
    

感染力

• ポート: 9900, 6667, 445
  
• 共有ドライブ: ネットワーク資源すべてに自分自身をコピーしようとする。
  
• 感染対象: Kazaa、Bearshare、Groksterファイル共有ネットワークを介して感染を拡大しようとする。
  

W32.HLLW.Gaobotが実行されると、次のことを行います。

自分自身を%system%\Sysldr32.exeとしてコピーします。

注意: %system% は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。標準では、このフォルダはC:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、C:\Windows\System32 (Windows XP)です。

このワームは次の値を

Config Loader

次のレジストリキーに追加することで、

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Windowsの起動時に毎回ワームが起動するように設定します。

このワームは次のいずれかのポートでIRCに接続し、

• 6667
  
• 9900
  

ある特定のチャンネルに接続してハッカーから送られるコマンドを待機します。


コマンド受信により行われる活動内容
ここでは、このワームがサポートしているコマンドと、それらのコマンド受信後に実行する活動について説明します。

ハッカーにより送信されるコマンドの中には、Psexec.exeというプログラムをダウンロードし、ネットワーク上の全コンピュータにワームをコピーするコマンドがあります。 そのプログラムは、Server Message Block Protocol (SMB)を使ってリモートコンピュータ上でサービスを起動可能にするユーティリティです（ポート445上でより多くの活動が行われます。）また、この機能はリモートコンピュータのユーザ名とパスワードを推測しようとします。さらに、感染先コンピュータのシステムフォルダ内にWoingg.batファイルを作成します。この.batファイルは様々なユーザ名および単純なパスワードを組み合わせて使用し、多数のネット使用コマンドを使うことでリモートコンピュータに接続しようとします。接続に成功すると、ワームはPsexec.exeユーティリティを使ってリモートコンピュータ上にワームのコピーをWoinggg.exeとして作成し、実行しようとします。

もう1つのコマンドは、ワームにKaZaA、Bearshare、Grokster用の共有フォルダを読み取らせ、次の方法で作成したファイル名を使ってファイルをコピーさせます。

まず、以下のリストから名前を１つ選び、

• Kylie Minogue
  
• Shakira
  
• Christina Aguilera
  
• Britney Spears
  
• Michelle Behennah
  
• Kate Moss
  
• Helena Christensen
  
• Emma Sjoberg
  
• Stacey Keibler
  
• Karina Lombard
  
• Kylie Bax
  
• Cameron Diaz
  
• Lexa Doig
  
• Belinda Chapple
  
• Alessandra Ambrosia
  
• Kirsten Dunst
  
• Halle Berry
  
• Salma Hayek
  
• Charlize Theron
  
• Katie Price
  
• Pamela Anderson
  
• Donna D'Erico
  
• Ashley Judd
  
• Carmen Electra
  
• Jessica Alba
  
• Amanda Peet
  
• Sandra Bullock
  
• Gillian Anderson
  
• Anna Kournikova
  
• Samantha Mumba
  
• Chandra North
  
• Kelly Hu
  
• Jolene Blalock
  
  

その名前を、次のリストから選んだ名前に挿入し、 %を最初のリストから選んだ名前に置き換えます。

• Watch %s sucking and f*ck*ng - XXX 注意：名前の部分は卑俗なため、一部編集しています。
  
• oh my, horny %s - XXX
  
• %s is very horny atm - XXX
  
• Instant access to %s-picture download - XXX
  
• %s's webcam - cracked access - no cost - XXX
  
• %s's webcam - view livecast - XXX
  
• %s in bed with some guy - XXX
  
• %s giving VERY good bl*wj*b XXX 注意：名前の部分は卑俗なため、一部編集しています。
  
• %s getting it on with Usama Bin Laden - XXX
  
• %s getting it on with George W. Bush - XXX
  
• Big Boobs Part II XXX - %s
  
• Spreading Wide XXX - %s
  
• Huge Tits XXX - %s
  
• Big Tits XXX - %s
  
• b*ttf*ck*n %s - XXX 注意：名前の部分は卑俗なため、一部編集しています。
  
• c*m all over %s - XXX 注意：名前の部分は卑俗なため、一部編集しています。
  
• %s lesbian love - XXX 注意：名前の部分は卑俗なため、一部編集しています。
  
• h4x %s's c0mput3r 4nd s3nd h3r 3m41l - mus7 d0wnl04d - 1337 h4x0r - XXX
  
• %s, very good pic (must download) - XXX
  
• %s getting on with it! - XXX
  
• %s sucking d*ck - XXX 注意：名前の部分は卑俗なため、一部編集しています。
  
• %s spreading VERY wide!! - XXX
  
• Free %s celeb pics xxx playboy f*ck port huge boobs nude hardcore - XXX 注意：名前の部分は卑俗なため、一部編集しています。
  
• Pictures of %s - hot pics! - XXX
  
• Sexy %s nude pics xxx playboy porn pics
  
• Anal Sex - %s - XXX
  
• %s doing hardcore xxx
  
• %s nude f*cking hardcore xxx huge boobs　注意：名前の部分は卑俗なため、一部編集しています。
  
• Hardcore XXX - %s
  
• Celebrity XXX - %s
  
  

その後、.exeあるいは次のいずれかが続きます。

• Hoyle Card Games 2003
  
• Us Open 2002
  
• Hyper Rails
  
• HOYLE PUZZLE GAMES 2003
  
• Puzzles battles of the history
  
• Snow Drop
  
• Emperor Rise of the Middle Kingdom
  
• Reel Deal Slots Volume II
  
• AFL Live 2003
  
• Squad Battles Eagles Strike
  
• Earth 2150 Lost Souls
  
• Midnight Outlaw Street Racing
  
• Deep Fritz 7
  
• Virtual Resort Spring Break
  
• Divine Divinity
  
• Zelenhgorm The Great Ship
  
• Kango Shicyauzo
  
• Action Man Destruction X
  
• Blue's Clues Preschool
  
• Jurassic Park Dinosaur Battles
  
• Maximum G-Force Coasters
  
• Empire Earth Art of Qonquest
  
• Ultimate Pinball
  
• Frontline Attack War over Europe
  
• Bandits - Phoenix Rising
  
• Taz Wanted
  
• Pro Soccer Cup 2002
  
• Jeopardy! 2003
  
• Prisoner Of War
  
• Links 2003
  
• Total Club Manager 2003
  
• Sniper Path of Vengeance
  
• Links 2003 Championship Courses
  
• Law and Order Dead on the Money
  
• Ultimate Ride Disney Coaster
  
• Dogs Playing Poker
  
• The Sims Unleashed
  
• Stronghold Crusader
  
• Virtual Skipper 2
  
• Combat Mission 2
  
• Iron Storm Action
  
• Exodus Action
  
• X-Plane
  
• Project Nomads
  
• Bongo Boogie
  
• NHL 2003
  
• ParaShooter
  
• Emperor
  
• Virtual Sailor
  
• Battlefield 1942
  
• Kickoff 2002
  
• Brixout XP
  
• Star Wraith 3
  
• Madden NFL 2003
  
• BANDITS Phoenix Rising
  
• Pox Puzzle
  
• Starshatter v3
  
• Virtual Resort
  
• Conflict Desert Storm
  
• Delta Force Black Hawk Down
  
• Unreal Tournament 2003
  
• Scarlet Waves
  
• Halloween
  
• No One Lives Forever 2
  
• World War II
  
• Iron Storm
  
• The Gates
  
• Asswipe
  
• Fartknocker
  
• High Grow
  
• Ganja Farmer 2
  
• Duke Nukem Forever
  
• Jedi Knight 2
  
• RTCW
  
• Quake 3
  
• Quake 2
  
• Quake 1
  
• Shattered Galaxy
  
• Diablo 2
  
• Diablo
  
• Starcraft
  
• Warcraft
  
• Warcraft 2
  
• Warcraft 3
  
• NOLF2
  
• UT2003
  
  

ワームが上記リストから名前（すべてゲーム名です）を選んだ場合、次のリストからさらに１つを選択し、 %の場所に上記で選択したゲームの名前を挿入します。

• %s crack (all versions)
  
• %s newest version crack
  
• %s 3D Setup
  
• %s - Cable Modem Playfix
  
• %s - ADSL Playfix
  
• %s - Unlock Everything Trainer
  
• %s - Crack all versions
  
• %s - Internet Play Fix
  
• %s - NOCD Patch
  
• %s - Tweaking utility
  
• %s - Autotuning (for Newbies)
  
• %s - CD Key Generator
  
• %s - Newest Patch
  
• %s - Character Cheat
  
• %s - Map Hack
  
• %s - Idem Duplicator
  
• %s - Item Hack
  
• %s - Multiplayer Cheat
  
• %s - Unlimited Healt Trainer
  
• %s - Game Trainer
  
  

その後、.exeが続きます。


上記コマンドのほかにも、このワームはコマンドにより次のことを行う可能性があります。

• 指定されたサーバーに対するDoS攻撃の開始
  
• CD-ROMドライブの開閉
  
• IRCチャンネルに次のゲームのCDキーを投稿：
  
  • Warcraft III
    
  • Soldier of Fortune II - Double Helix
    
  • Neverwinter Nights
    
  • UT2003
    
  • Battlefield 1942
    
  • Half-Life
    

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

注意: 以下の手順は、Symantec AntiVrusおよびNorton AntiVirus製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

1. ウイルス定義を最新版に更新します。
   
2. システム全体のスキャンを実行し、W32.HLLW.Gaobotとして検出されたファイルをすべて削除します。
   
3. 次の値を
   
   Config Loader %sysdir%\sysldr32.exe
   
   次のレジストリキーから削除します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   

具体的な手順については、以下のセクションをご覧ください。

ウイルス定義を更新するには：
ウイルス定義ファイルはすべて、Symantec Security Responseによる完全品質保証テストを通過した後で弊社サーバーにアップロードされています。最新版のウイルス定義は次の2通りの方法で入手できます。

• LiveUpdateを実行する方法。LiveUpdate^TM は、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdateを通じて配布されているウイルス定義ファイルは、Symantec Security Responseの完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdate^TM サーバーにアップロードされます。この脅威に対応するウイルス定義がLiveUpdateを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。
  
• Intelligent UpdaterTM を使用してウイルス定義をダウンロードする方法。Intelligent UpdaterTM を通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日〜金曜日）に随時、更新、アップロードされています。Intelligent Updater^TM によるウイルス定義ファイルは、Symantec Security ResponseのWebサイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義がIntelligent Updaterを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。
  
  Intelligent Updaterのウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。
  
  

感染ファイルを探して削除するには：

1. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
     
   • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
2. システム全体のスキャンを実行します。
   
3. W32.HLLW.Gaobotに感染しているファイルが検出されたら、[削除]をクリックします。
   
   

レジストリから値を削除するには：

注意：システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
   
2. regeditと入力し、[OK]をクリックします。レジストリ エディタが開きます。
   
3. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   
4. 画面右側で、次の値を削除します。
   
   Config Loader %sysdir%\sysldr32.exe
   
   
5. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   
   
6. 画面右側で、次の値を削除します。
   
   Config Loader %sysdir%\sysldr32.exe
   
   
7. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   
   
8. 画面右側で、次の値を削除します。
   
   Config Loader %sysdir%\sysldr32.exe
   
   
9. レジストリ エディタを終了します。