ウイルス情報　｜　製品紹介　｜無料ダウンロード　｜　セキュリティBOX　｜　サポート情報

W32/Deloder.worm （デローダー） 種別 ： インターネットワーム 危険度 ： 低（要注意） 主な発病 ： 不正アクセス/トラフィック増加 発見日時 ： 2003年3月9日 McAfee.com ウイルススキャンオンラインで検出・駆除可能 Deloderウイルスとは？ Deloderウイルスは、単純なパスワードで保護されたネットワークを介して感染します。ネットワークが感染するとTCPポート445のトラフィックが増加します。このウイルスは、Windows 2000/XP環境でのみ繁殖し、ウイルス自身のコピーをネットーワーク上にある共有フォルダにコピーします。さらに、Windowsが起動するたびに繰り返し同じ動作をするように、スタートアップフォルダの中にトロイの木馬の実行ファイルをコピーします。 　 感染した場合の症状 ■ TCPポート445を通じてパソコンへの不正アクセスを可能にする 　　 　 対処方法 「McAfee.com ウイルススキャンオンライン」は、すでにこのウイルスに対応済みです。アップデートがお済みでない方は、速やかにアップデートしてください。すでに感染された方は、Safeモードを起動して、すべてのファイルにウイルススキャンを行ってください。 　　 【アップデート方法】 1. 画面右下のタスクトレイのアイコンをダブルクリックし、「McAfee.com セキュリティ・センター」を起動します。 2. 画面上の[アップデート]ボタンをクリックします。 3. 次の画面の[今すぐ確認する]をクリックします。 4. アップデートがお済みでない場合は、アップデートを開始する画面が表示されます。画面の指示に従ってアップデート操作を行なってください。アップデートがお済みの場合には「ご使用のMcAfee.com製品は、すべて最新です」と表示されます。 　 　 　 　 ※このウイルスはスキャンエンジン4.1.60以上、ウイルス定義ファイル4.0.4252以上に対応いたします。 ウイルス詳細情報 ■ このワームはアクセス可能な共有フォルダにDvldr32.exeというファイル名で自身をコピーして、Remote Process Launchツール（PSEXEC.EXE）で作成したコピーをリモート実行します。このファイルが実行されると、以下のレジストリキー値を作成します。 　 このファイルが実行されると、以下のレジストリキー値を作成します。 HKEY_LOCAL_MACHINEｴSOFTWAREｴMicrosoftｴWindowsｴCurrentVersionｴ Run "messnger" = %worm path%. ■ 以下のファイルが存在する場合、このウイルスに感染している可能性があります。 　 W32/Deloder.wormに関連したファイルは以下の通りです。 ファイル名： ファイルサイズ： タイプ： cygwin1.dll 944,968バイト 無害なファイルだが、IRCボットRC-Picthforkで使用される dvldr32.exe 745,984バイト ワーム explorer.exe 212,992バイト 改名されたVNCアプリケーション（BackDoor-ARG参照） inst.exe 684,562バイト ドロッパ（BackDoor-ARGaを落とし込む） omnithread_rt.dll 57,344バイト VNCアプリケーション psexec.exe 36,352バイト Remote Process Launchアプリケーション *（UPX圧縮されているこのファイルは、現在の定義ファイルではIRC/Flood.i として発見されます。） rundll32.exe 29,336バイト IRCボットIRC-Picthfork VNCHooks.dll 32,768バイト VNCアプリケーション 下に表示したSniffer Matrix Viewに見られるように、このワームは、感染マシンからリモートマシンのポート445に非常に高いTCPトラフィックを生じさせます。 ■ 感染方法 　 ・このワームはWindows 9x/MEシステム上では機能しませんが、これらのシステムでも繁殖します。ワームのメインコンポーネントが実行されると、バックドア型トロイの木馬のインストーラ（INST.EXE）およびRemote Process Launchを落とし込みます。アクセス可能なネットワーク共有を介してリモートシステムに自身のコピーを作成し、実行します。IPC$共有に接続して、以下のパスワードを使用します。 0 000000 00000000 007 1 110 111 111111 11111111 12 121212 123 123123 1234 12345 123456 1234567 12345678 123456789 1234qwer 123abc 123asd 123qwe 2002 2003 2600 54321 654321 88888888 a aaa abc abc123 abcd Admin admin< admin123 administrator alpha asdf computer database enable foobar god godblessyou home ihavenopass Internet Login login love mypass mypass123 mypc mypc123 oracle owner pass passwd Password password pat patrick pc pw pw123 pwd qwer root secret server sex super sybase temp temp123 test test123 win xp xxx yxcv zxcv ・リモートシステムの以下の共有フォルダにも、トロイの木馬のインストーラを落とし込みます。 C$ｴWINNTｴAll UsersｴStart MenuｴProgramsｴStartupｴinst.exe CｴWINDOWSｴStart MenuｴProgramsｴStartupｴinst.exe C$ｴDocuments and SettingsｴAll UsersｴStart MenuｴProgramsｴStartupｴinst.exe 以下の共有フォルダを削除します。 C$ D$ E$ F$ IPC$ ADMIN$ ・DVLDR32.EXE ファイルが起動すると、PSEXEC.EXE と INST.EXE ファイルがローカルパスに解凍されます。

Copyright (C) SOURCENEXT CORPORATION All Rights Reserved.