WORM_SDBOT.UH
Backdoor:Win32/Rbot (Microsoft); W32.Spybot.Worm (Symantec); W32/Sdbot.worm.gen (McAfee); W32/Rbot-HQ (Sophos)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、ユーザ名のリストを利用し、パスワード保護された共有フォルダにアクセスします。 ワームは、パスワードのリストを利用し、パスワード保護された共有フォルダにアクセスします。 ワームは、ソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。
ワームは、IRCサーバに接続します。 ワームは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。
ワームは、特定のフラッド攻撃を用いて、感染コンピュータ上から「サービス拒否(DoS)攻撃」を実行します。
ワームは、特定のソフトウェアのCDキー、シリアルナンバーもしくはアプリケーションのプロダクトIDを収集します。収集された情報は、それら情報を入手したサイバー犯罪者に悪用される恐れがあります。 ワームは、「スニファ(Sniffer)」 というツールでネットワークパケットを監視し、感染コンピュータに接続する他のコンピュータのログイン用パスワードを収集します。
ワーム マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した ワーム )を削除します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\WIN32X.EXE
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
Microsoft Time Manager = "dveldr.exe"
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\Software\Microsoft\
Ole
Microsoft Time Manager = "dveldr.exe"
感染活動
ワームは、以下の共有フォルダ内に自身のコピーを作成します。
- ADMIN$\system32
- C$\Windows\system32
- C$\WINNT\system32
- IPC$
ワームは、以下のユーザ名のリストを利用し、パスワード保護された共有フォルダにアクセスします。
- {blank}
- accounting
- accounts
- administrador
- administrat
- administrateur
- administrator
- admins
- backup
- blank
- brian
- chris
- cisco
- compaq
- computer
- control
- database
- default
- exchange
- george
- guest
- homeuser
- internet
- intranet
- katie
- nokia
- oeminstall
- oemuser
- office
- oracle
- orainstall
- outlook
- owner
- peter
- siemens
- staff
- student
- susan
- teacher
- technical
- win2000
- win2k
- win98
- windows
- winnt
- winxp
- wwwadmin
ワームは、以下のパスワードのリストを利用し、パスワード保護された共有フォルダにアクセスします。
- {blank}
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 1234567890
- access
- bitch
- changeme
- databasepass
- databasepassword
- db1234
- dbpass
- dbpassword
- domain
- domainpass
- domainpassword
- hello
- linux
- login
- loginpass
- pass1234
- passwd
- password
- password1
- qwerty
- server
- sqlpassoainstall
- system
- winpass
ワームは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。
- (MS03-026) Buffer Overrun In RPC Interface Could Allow Code Execution
- (MS02-061) Elevation of Privilege in SQL Server Web Tasks (Q316333)
- (MS03-007) Unchecked Buffer In Windows Component Could Cause Server Compromise (815021)
- (MS04-011) Security Update for Microsoft Windows (835732)
バックドア活動
ワームは、以下のいずれかのIRCサーバに接続します。
- irc.{BLOCKED}o.net
ワームは、不正リモートユーザからの以下のコマンドを実行します。
- Update malware from HTTP and FTP URL
- Steal CD keys of games
- Execute a file
- Download from HTTP and FTP URL
- Open a command shell
- Open files
- Display the driver list
- Get screen capture
- Capture pictures and video clips
- Display netinfo
- Make a bot join a channel
- Stop and start a thread
- List all running process
- Rename a file
- Generate a random nickname
- Perform different kinds of distributed denial of service (DDoS) attacks
- Retrieve and clear log files
- Terminate the bot
- Disconnect the bot from IRC
- Send a message to the IRC server
- Let the bot perform mode change
- Change BOT ID
- Display connection type, local IP address, and other net information
- Log in and log out the user
- Issue Ping attack on to a target computer
- Display system information such as CPU speed, Amount of memory, Windows platform, build version and product ID, Malware uptime, User name
Denial of Service(DoS)攻撃
ワームは、以下のフラッド攻撃を用いて、感染コンピュータ上からDoS攻撃を実行します。
- HTTP
- ICMP
- SYN
- UDP
情報漏えい
ワームは、特定のソフトウェアのCDキー、シリアルナンバーもしくはアプリケーションのプロダクトIDを収集します。
ワームは、スニファ(Sniffer)というツールでネットワークパケットを監視し、感染コンピュータに接続する他のコンピュータのログイン用パスワードを収集します。
その他
ワーム は、自身(コンピュータに侵入して最初に自身のコピーを作成した ワーム )を削除します。
ワームは、複数のスレッドを作成し、ネットワーク監視、キー入力情報監視等のバックドア活動を行います。また、感染コンピュータ上でTFTPサーバとして機能し、他のコンピュータに自身のコピーを "BLING.EXE" のファイル名で送信を試みます。
ワームは、ネットワーク共有フォルダを介して自身のコピーを頒布します。NetBEUIの機能を使用してユーザ名およびパスワードのリストを取得します。
ワームは、ネットワークの通信を調べて以下の文字列が含まれているか確認し、情報収集活動を行います。
- : auth
- : login
- :!auth
- :!hashin
- :!login
- :!secure
- :!syn
- :$auth
- :$hashin
- :$login
- :$syn
- :%auth
- :%hashin
- :%login
- :%syn
- :&auth
- :&login
- :'auth
- :'login
- :*auth
- :*login
- :+auth
- :+login
- :,auth
- :,login
- :-auth
- :-login
- :.auth
- :.hashin
- :.login
- :.secure
- :.syn
- :/auth
- :/login
- :=auth
- :=login
- :?auth
- :?login
- :@auth
- :@login
- :\auth
- :\login
- :~auth
- :~login
- login
- PAYPAL
- PAYPAL.COM
ワームは、WindowsのプロダクトIDおよび以下のゲームのCDキーの収集を試みます。
- Battlefield 1942
- Battlefield 1942 (Road To Rome)
- Battlefield 1942 (Secret Weapons of WWII)
- Battlefield Vietnam
- Black and White
- Chrome
- Command and Conquer: Generals
- Command and Conquer: Generals (Zero Hour)
- Command and Conquer: Red Alert
- Command and Conquer: Red Alert 2
- Command and Conquer: Tiberian Sun
- Counter-Strike (Retail)
- FIFA 2002
- FIFA 2003
- Freedom Force
- Global Operations
- Gunman Chronicles
- Half-Life
- Hidden & Dangerous 2
- IGI 2: Covert Strike
- Industry Giant 2
- James Bond 007: Nightfire
- Legends of Might and Magic
- Medal of Honor: Allied Assault
- Medal of Honor: Allied Assault: Breakthrough
- Medal of Honor: Allied Assault: Spearhead
- Nascar Racing 2002
- Nascar Racing 2003
- Need For Speed Hot Pursuit 2
- Need For Speed: Underground
- Neverwinter Nights
- Neverwinter Nights (Hordes of the Underdark)
- Neverwinter Nights (Shadows of Undrentide)
- NHL 2002
- NHL 2003
- NOX
- Rainbow Six III RavenShield
- Shogun: Total War: Warlord Edition
- Soldier of Fortune II - Double Helix
- Soldiers of Anarchy
- The Gladiators
- Unreal Tournament 2003
- Unreal Tournament 2004
ワームは、キー入力操作情報の収集を行います。
ワームが実行するコマンドは、以下のとおりです。
- HTTPおよびFTPを介して自身のアップデート
- ゲームのCDキーの収集
- ファイルの実行
- HTTPおよびFTPを介してファイルのダウンロード
- コマンドシェルを起動
- ファイルを開く
- ドライバリストの表示
- スクリーンショットの取得
- 画像ファイル、動画ファイルの収集
- ネットワーク情報の表示
- IRCチャンネルに参加
- スレッドの終了および開始
- プロセスの表示
- ファイル名の変更
- ランダムなニックネームの生成
- 分散型サービス拒否(DDoS)攻撃
- ログファイルの収集および削除
- 自身の終了
- IRC切断
- IRCサーバにメッセージ送信
- IRCモードの変更
- ボットIDの変更
- 接続タイプ、IPアドレスなどネットワーク情報の表示
- ユーザのログオンおよびログオフ
- 感染コンピュータにping攻撃
- システム情報の表示:
- CPU スピード
- メモリ容量
- WindowsOSの種類、ビルド番号、プロダクトID
- ワームの起動時間
- ユーザ名
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「WORM_SDBOT.UH」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- Microsoft Time Manager = "dveldr.exe"
- Microsoft Time Manager = "dveldr.exe"
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
- Microsoft Time Manager = "dveldr.exe"
- Microsoft Time Manager = "dveldr.exe"
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
- Microsoft Time Manager = "dveldr.exe"
- Microsoft Time Manager = "dveldr.exe"
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_SDBOT.UH」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 5
以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。
- http://technet.microsoft.com/en-us/security/bulletin/ms03-026
- http://technet.microsoft.com/en-us/security/bulletin/ms02-061
- http://technet.microsoft.com/en-us/security/bulletin/ms03-007
- http://technet.microsoft.com/en-us/security/bulletin/ms04-011
日本語情報はこちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください