説明

W32.HLLW.Gaobot.AG は、 W32.HLLW.Gaobot.AE のマイナな亜種です。
このワームは、ネットワーク共有を介して拡散を試み、攻撃者が IRC チャネルを介して感染先のコンピュータにアクセスできるようにします。
攻撃者に接続するために、TCP ポートをランダムに選択して開きます。
独自の IRC クライアントを使用して事前に定義済みの IRC チャネルに接続し、攻撃者からのコマンドを待機します。
当該ワームが作動すると、攻撃者は感染コンピュータをリモート コントロールでき、以下の行動をとることができます。
1. ワームのインストールを管理します。
2. インストールされたワームの更新をします。
3. ファイルのダウンロードと実行をします。
4. 感染コンピュータのシステム情報を盗難します。
5. 当該ワームを他の IRC ユーザに送信します。
6. ハッカのためのアカウントを追加します。
DCOM RPC の脆弱性を利用してデータを TCP ポート 135 に送信します。
また RPC ロケータの脆弱性を利用して TCP ポート 445 にデータを送信します。
予めリストされたユーザ名とパスワードの組み合わせが設定されている管理者共有、およびNetUserEnum() APIを使用することによって発見したユーザ名が設定されている管理者共有を探します。
そのほかにも以下の症状を発症します:
1. 脆弱なコンピュータへのアクセスに成功すると、そのコンピュータに自分自身をコピーし実行します。
2. 複数のゲームの CD キーを盗みます。
3. 動作中のプロセスを調べ、ファイアウォールまたはウイルス対策プログラムによって使用されるプロセスを発見すると、そのプロセスを終了させようとします。
4. また、他のワームによって投下されたプロセスを終了させようとします。
5. さらに、次のタイプのサービス拒否 (DoS) 攻撃を実行する可能性があります
: Ping フラッド, TCP SYN フラッド, UDP フラッド

追加/変更される値

当該ワームは次の値を追加します: \\\"MS Security Hotfix\\\"=\\\"service5.exe\\\" を以下のレジストリ キーに追加します: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

削除方法

RegRun Startup Optimizer を使用してスタートアップから削除してください。

[RegRun Startup Optimizerを使って]という記述は、Greatis Software社のRegRun製品の一部の機能です。削除のために特に本ツールを使う必要はありません。レジストリエディタ(Regedit)など、Windowsのスタートアップ エントリに登録されたプログラムを削除できるツールを使うことで除去が可能です。または、HijackThis, XRayPCなども同様の機能を提供しています。

MD5チェックサム

最終変更日

2006/02/13 (Mon)