平成15年3月12日
平素はネットウェーブ四国のインターネットサービスをご利用いただきまして、
誠にありがとうございます。
TCPポート445番をスキャンするトロイの木馬型ウイルスに関するの感染報告
が確認されております。下記の情報をご参照ください。
1 情報源
〇トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DELODER.A
○ソフォス
http://www.sophos.co.jp/virusinfo/analyses/w32delodera.html
〇シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.deloder.html
2 概要
2003年3月9日午後9時以降、中国から発生し流行が確認されているインター
ネットワームです。10日に入り、日本でも多くの感染が確認されています。ご注意
ください。
3 特性
Deloder 別名(W32/Deloder-A, WORM_DELODER.A, Win32.Deloder Worm,
W32.HLLW.Deloder)は一般的に「ワーム」に分類されるトロイの木馬型不正プログラ
ムです。ワームはフリーのリモートコントロールツールである「PsExec」を悪
用し、TCPポート445番を通じてネットワーク上のコンピュータに対してAdm
inistratorとしてリモートログインを試みます。この際、あらかじめ用意
したパスワードをすべて試します。
リモートログインできたコンピュータに自身のコピーを作成します。また、バック
ドア型ハッキングツール「BKDR_DELODER.A」をコピーするウイルスドロッパー活動も
行います。
以後、Windowsの起動時に必ずW32.HLLW.Deloderがスタートアップフォルダ
から読み込まれるようになります。
W32.HLLW.Deloder は次のようなリモートサービスを起動しようとします。
・バックドアトロイの木馬のコピーおよび実行C
・ワームのコピーおよび実行
・デフォルトの共有の削除
・ワームおよびバックドアトロイの木馬の属性を読み取り専用に変更
このワームは Dvldr32.exeファイルとして存在し、ASPackで圧縮されています。
ワームはWindows 2000/XP でのみ活動が可能です。
4 感染予防策
このウイルスは、リモートコントロールソフトを利用し、ユーザー名にAdministra
torとして接続を試み、ログイン時に“000000”“administrator”“password”など
約70種のパスワードを入力します。複雑なパスワードを設定しておけば、ウイルス
の侵入を拒むことが可能です。
5 対応方法
(1) 当該ウイルスに対応したワクチンデータに更新
(2) 各ベンダーの駆除ツールを利用する。
|
コンピュータウイルス(Deloder)について(注意勧告)
お問い合わせ、ご意見、ご感想はinfo@netwave.or.jpまで