説明

W32/Sdbot-KF です。別名: Backdoor.Spyboter.gen, W32/Spybot.worm.gen.a, Win32/Spyboter.M 当該ワームはネットワーク共有を通じて拡散するワームです。 またバックドア機能を備えており、IRC チャネルを介してリモートの攻撃者からのコマンドを待機することができます。
自身を Windows system フォルダにファイル名 WINUSER32.EXE としてコピーします。レジストリの以下の箇所にエントリを追加してシステム起動時に自身を実行します:
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

アンチウイルスやセキュリティ プログラムに関連した複数のプロセス、 REGEDIT.EXE, PING.EXE, NETSTAT.EXE などを遮断しようとします。以下のレジストリエントリを設定して複数のレジストリ ツールへのアクセスを妨害しようとします。
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System
DisableRegistryTools = 1

脆弱なパスワードのネットワーク共有とバックドア型トロイの木馬機能により発生したセキュリティの脆弱性を悪用して拡散しリモートユーザからの適宜なコマンドを受信し、同時にローカルコンピュータ上で自身をファイル名 NTLORD.EXE としてコピーします。W32/Sdbot-KF はユーザのキーストロークをファイル KEYLOG.TXT に、ネットワーク情報をファイル SCANZ.TXT に保存することがあります。

削除方法

RegRun Startup Optimizer を使用してスタートアップから自動削除してください。

[RegRun Startup Optimizerを使って]という記述は、Greatis Software社のRegRun製品の一部の機能です。削除のために特に本ツールを使う必要はありません。レジストリエディタ(Regedit)など、Windowsのスタートアップ エントリに登録されたプログラムを削除できるツールを使うことで除去が可能です。または、HijackThis, XRayPCなども同様の機能を提供しています。

MD5チェックサム

最終変更日

2006/02/15 (Wed)