説明

W32.Spybot.EAS は、IRC チャネルを介して遠隔制御される可能性のあるワームです。 このワームは分散型サービス拒否 (DDoS) 実行能力とバックドア機能を備えています。 また感染先のコンピュータから機密情報を盗み取ろうとします。

追加/変更される値

\"con.exe\" を次のレジストリキーに追加します:
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services

以下のローカルネットワーク共有を削除します:
$ipc; $admin; $c; $dTCP ポート 6667 を使用して latina.a.la の IRC チャネルに接続することにより、バックドアを開こうとします。ワームは攻撃者からのコマンドを待機し、このコマンドにより攻撃者は次の操作を実行できます。

- ファイルのダウンロードと実行
- ネットワークをスキャンしてバックドアトロイの木馬を実行中のサーバを探す
- プロセスの列挙、停止、開始 - 分散型サービス拒否 (DDoS) を開始する
- システム情報を盗み、攻撃者に送信する。 - ポートのリダイレクトを実行する。
- socks4/5 プロキシを開始する。

削除方法

RegRun Startup Optimizer をご使用になりスタートアップから削除してください。

[RegRun Startup Optimizerを使って]という記述は、Greatis Software社のRegRun製品の一部の機能です。削除のために特に本ツールを使う必要はありません。レジストリエディタ(Regedit)など、Windowsのスタートアップ エントリに登録されたプログラムを削除できるツールを使うことで除去が可能です。または、HijackThis, XRayPCなども同様の機能を提供しています。

MD5チェックサム

最終変更日

2006/02/15 (Wed)