W32.Kwbot.E.Worm

日本サイト更新日: 2003年3月28日 10:59

W32.Kwbot.E.Worm

発見日: 2003年3月27日 (米国時間)
最終更新日: 2003年3月27日 11:45 (米国時間)

W32.Kwbot.E.WormはKaZaAおよびiMeshなどのファイル共有ネットワークを介して感染拡大を広げようとするワームです。また、このワームはハッカーが感染先コンピュータの制御を獲得できるようにするバックドアトロイの木馬機能も備えています。W32.Kwbot.E.WormはASPack v2.12で圧縮されています。

W32.Kwbot.E.WormはW32.Kwbot.Wormの亜種です。

種別: ワーム

感染サイズ: 25,000バイト

影響を受けるシステム: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP

影響を受けないシステム: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux

対応日(Intelligent Updater)*	2003/03/27(米国時間)

対応日(Live Update^TM)**	2003/04/02(米国時間)

*	Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。
**	LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況

危険性評価グラフ

被害状況: 低	ダメージ: 中	感染力: 中

ダメージ

発病症状:
- ファイル改ざん: レジストリを改変する
- 不正アクセス: 感染先コンピュータへの不正アクセスを可能にする

感染力

共有ドライブ: KaZaAおよびiMeshファイル共有ネットワークに自分自身をコピーする

W32.Kwbot.E.Wormが実行されると、次のことを行います。

自分自身を%System%\Dllmem32.exeとしてコピーします。

注意: %System% は可変です。このワームはWindowsシステムフォルダを探し出し、その場所に自分自身をコピーします。このフォルダは、標準ではC:\Windows\System (Windows 95/98/Me), C:\Windows\System32 (Windows XP)またはC:\Winnt\System32 (Windows NT/2000)です。
感染先コンピュータ上で稼動中のOSにより、次のうちのいずれかを行います。
- NT/2000/XPの場合、ワームは次のレジストリキーの値を
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  
  次のように変更します。
  
  Shell Explorer.exe %system%\dllmem32.exe
  
  その結果、Windowsの起動時にこのワームが実行されるようになります。
- Windows 98/Meの場合、ワームは次の値を
  
  DLL32 dllmem32.exe
  
  次のレジストリキーに作成します。
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
  RunServices
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
  RunOnce
  
  その結果、Windowsの起動時にこのワームが実行されるようになります。
Windows 95/98/Meの場合、ワームはプログラムを終了する際のダイアログボックスに表示されないように自分自身をサービスプロセスとして登録します。
インターネットの接続状態を30秒ごとに調べます。W32.Kwbot.E.Wormは接続を確認するとすぐにポート6667を使って特定のIRCサーバーに接続し、特定のチャネルに参加した後、ハッカーにメッセージを送信することで通知を行います。次にワームはハッカーがIRCを使って送信するコマンドを待機します。そのコマンドにより、ハッカーは感染先コンピュータに対し、次のような操作を実行できるようになります。

システムおよびネットワーク情報のハッカーへの送信
自分自身のインストール管理
ファイルのダウンロード、実行
サービス拒否(DoS)攻撃の実行
KaZaAおよびiMeshなどのファイル共有ネットワークへの感染拡大

W32.Kwbot.E.Wormの感染拡大方法

注意: W32.Kwbot.E.WormはKaZaAまたはiMeshソフトウェアがインストールされているコンピュータ上でのみ感染を広げることができます。

W32.Kwbot.E.WormはKaZaAおよびiMeshファイル共有ネットワークに感染を広げるために、次のことを行います。

%Windir%\CTemp32フォルダを作成します。
%Windir%\CTemp32フォルダに自分自身を次のファイルとしてコピーします。
- Active webcam 3.4 crack.exe
- Coffeecup webcam 3.5 crack.exe
- Biromsoft WebCam 3.01 crack.exe
- SpyCast Webcam Studio 1.1.8 crack.exe
- ISpy WebCam 2.0 crack.exe
- Webcam Uploader 2001 3.1 crack.exe
- WebCam-Control-Center 6.0 crack.exe
- CamShot Webcam HTTP Server 2.5 crack.exe
- WebCam Recorder 1.22 crack.exe
- Creditcard number generator.exe
- Hotmail account cracker.exe
- Yahoo account cracker.exe
- Winzip crack/serial.exe
- Winrar crack.exe
- Getright 5.0 crack.exe
- Guard-IE Pop-up Killer Suite 3.2 crack.exe
- Acoustica MP3 CD Burner crack.exe
- Norton AntiVirus Definitions Update.exe
- CoffeeCup HTML Editor 9.5 crack.exe
- pop up stopper.exe
- Dreamweaver MX crack.exe
- Turbo Browser 10th Gold Edition 9.0 crack.exe
- Internet Download Manager 3.13 crack.exe
- Nero Burning ROM 5.5.10.15a crack.exe
- Opera 7.02 crack.exe
- Alchemy Network Monitor 4.7.5 crack.exe
- Chess Rally 2.45 crack.exe
- Logbook Pro 1.9.3 crack.exe
- Zone alarm pro crack.exe
- SolarCell 1.3 crack.exe
- Spytech SecurityWorks 2003 crack.exe
- WebCompiler 2000 1.67 crack.exe
- Accel SpeedTec 2.1.194 crack.exe
- BigJig 7.0 crack.exe
- Cygwin 1.3.17 crack.exe
- ShortKeys Lite 1.7 crack.exe
- Table Tennis Pro 1.3 crack.exe
- The Bat 1.62 crack.exe
- Tweakmaster 1.7 crack.exe
- BlackWidow 4.37 crack.exe
- DLL Show 5.0 crack.exe
- PolyView 3.86 crack.exe
- PowerStrip 3.3 crack.exe
- SereneScreen Marine Aquarium 1.1.2 crack.exe
- UltraEdit-32 9.2 crack.exe
- McAfee VirusScan Home Edition 7.0 crack.exe
- Talisman Desktop 2.5 crack.exe
- Mcafee firewall crack.exe
- FTP Voyager 9.1.0.3 crack.exe
- VisualRoute 7.1c .exe
- Media Jukebox 8.0.394 crack.exe
- Axialis AX-CDPlayer 2.61 crack.exe
- AirStrike 3D: Operation W.A.T. 1.2 crack.exe
- ZBrush 1.55 crack.exe
- Ulead Photo Explorer 8.0 crack.exe
- AutoMate 5.0.4.1 crack.exe
- ActiveSkin 4.27 crack.exe
- Sound Forge 6.0d build 219 crack.exe
- WinProxy 4.0i crack.exe
- BlackICE PC Protection 3.5 crack.exe
- IrfanView 3.8 crack.exe
- NoteTab Pro 4.92 crack.exe
- Window Washer 4.8 crack.exe
- Bugatron 1.18 crack.exe
- FtpTree ActiveX Control 9.1 crack.exe
- QuakeMap World Edition 2.1 crack.exe
- Unreal tournament 2003 keygen.exe
- Pornsite password cracker (works).exe
- Nokia hacker.exe
- Cellular hacker.exe
次の値を

Dir? 012345:%windows%\CTemp32
DisableSharing 0

注意: 上記の値の"?"部分はワームが選択した数値になります。

次のレジストリキーに追加します。

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
HKEY_CURRENT_USER\Software\iMesh\Client\LocalContent

その結果、KaZaAまたはiMeshの他のユーザが%Windir%\CTemp32フォルダからファイルをダウンロードできるようになります。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
従業員に対し、次のことを徹底させる。
- 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
- インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
- 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

注意: 以下の手順は、Symantec AntiVrusおよびNorton AntiVirus製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

ウイルス定義を最新版に更新します。
ご使用のOSに応じて次のいずれかを行います。
システム全体のスキャンを実行し、W32.Kwbot.E.Wormとして検出されたファイルをすべて削除します。
ワームによってレジストリに行われた変更を元に戻します。

具体的な手順については、以下のセクションをご覧ください。

1. ウイルス定義を最新版に更新する

ウイルス定義ファイルはすべて、Symantec Security Responseによる完全品質保証テストを通過した後で弊社サーバーにアップロードされています。最新版のウイルス定義は次の2通りの方法で入手できます。

LiveUpdateを実行する方法。LiveUpdate^TM は、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdateを通じて配布されているウイルス定義ファイルは、Symantec Security Responseの完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdate^TM サーバーにアップロードされます。この脅威に対応するウイルス定義がLiveUpdateを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。
Intelligent UpdaterTM を使用してウイルス定義をダウンロードする方法。Intelligent UpdaterTM を通じて配布しているウイルス定義ファイルは、Symantec Security Response（シマンテック・セキュリティ・レスポンス）による完全な品質保証検査を通過後、米国時間の平日（月曜日～金曜日）に随時、更新、アップロードされています。Intelligent Updater^TM によるウイルス定義ファイルは、Symantec Security ResponseのWebサイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義がIntelligent Updaterを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。

Intelligent Updaterのウイルス定義は、こちらからダウンロードいただけます。Intelligent Updater^TM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。

2. セーフモードで再起動する／動作中のプロセスを終了させる

Windows 95/98/Meをお使いの場合
コンピュータをセーフモードで再起動します。Windows NT以外のすべてのWindows 32-ビットOSはセーフモードで再起動することができます。具体的な手順については、Windows 9x または Windows Me をセーフモードで起動する方法をご覧ください。

Windows NT/2000/XPをお使いの場合
ワームのプロセスを停止するには:
　

Ctrl+Alt+Deleteキーを同時に押します。
[タスクマネージャ]をクリックします。
[プロセス]タブをクリックします。
リスト最上部のイメージ名をダブルクリックしてプロセスをアルファベット順に並ベ替えます。
リストをスクロールして、Dllmem32.exeを探します。
該当するファイルを発見したら、それをクリックして[プロセスの終了]をクリックします。
タスクマネージャを閉じます。

3. 感染ファイルを探して削除する

Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
- 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
- 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
システム全体のスキャンを実行します。
W32.Kwbot.E.Wormに感染しているファイルが検出されたら、[削除]をクリックします。

4. レジストリに行われた変更を元に戻す

注意：システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。

[スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。（[ファイル名を指定して実行]ダイアログボックスが表示されます。）
regeditと入力します。

その後、[OK]をクリックします。（レジストリエディタが開きます。）
次のレジストリキーを選択します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
画面右側で次の値を削除します。

DLL32 dllmem32.exe
次のレジストリキーを選択します。
　
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices
画面右側で次の値を削除します。

DLL32 dllmem32.exe
次のレジストリキーを選択します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce
画面右側で次の値を削除します。

DLL32 dllmem32.exe
次のレジストリキーを選択します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

注意: 上記のキーはすべてのシステムに存在するとは限りません。このキーが存在しない場合、次のステップに進んでください。
画面右側でShellをダブルクリックします。
値データボックスのテキストを変更して、Explorer.exeだけが表示されるようにします。
次のレジストリキーを1つずつ選択します。

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
HKEY_CURRENT_USER\Software\iMesh\Client\LocalContent
画面右側で、%Windir%\CTemp32フォルダを参照している値をすべて削除します。以下はその値の一例です。

Dir? 012345:%windows%\CTemp32

注意: 上記の値の"?"部分はワームが選択した数値になります。
レジストリエディタを終了します。