| 対応定義ファイル |
Win32/Bobax.A
定義ファイルバージョン1.762 (20040516)
以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
2 -
感染可能性あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■Win32/Bobax.A
Win32/Bobax.A は、Microsoft Windowsの脆弱性を利用して拡散するワームで、そのサイズは約20KBです。このワームが実行されると、このワームは、ランダムなファイル名で
%System% フォルダに自分自身のコピーを作成し、%temp% フォルダに17,920バイトのランダムな名前のDLLファイルを作成します。このDLLは、Explorerプロセスの新しいスレッドとして実行されます。
このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。)
このワームは、作成したファイルがWindowsの再起動時に実行されるように、次のレジストリキーに2つのランダムな値を設定します。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
その値には、ワームが %system% に作成したファイルのパスが含まれています。
Win32/Bobax.A は、次のいずれかのアドレスへの接続を試みます。
butter.dns4biz.org
cheese.dns4biz.org
kwill.hopto.org
chilly.no-ip.info
このワームは、HTTPプロトコルを使用して、侵入したシステムに関する情報を送信したり、リモートマシンからコマンドを受け付けることができるようにします。これによって、感染したコンピュータでは、このワームがファイルをダウンロードしたり、それを実行することができるようになります。このワームは、スパム行為を行うためにも使用されます。このワームには、簡単なSMTPエンジンが搭載されており、このワームは、リモートマシンからメールを送信するように指示されたときのみ、メールを送信して、その感染を拡大していきます。
このワームは、Microsoft Windows が稼動しているマシンの脆弱性を調査して、CAN-2003-0533
に関する脆弱性を利用して攻撃することを試みます。この攻撃が成功した場合、このワームは感染したマシンにダウンロードされて実行されます。このワームは、感染を広げるために、ランダムなポートで動作するHTTPサーバーも搭載されており、ワームを含んだファイルへのアクセスを可能にしています。
Microsoft Windowsの脆弱性:
このワームはWindowsの脆弱性を利用して活動することが知られています。詳細はMicrosoft社のセキュリティ情報をご参照ください。
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp
この脆弱性を利用されると、攻撃者(ワーム)に様々な方法(悪意あるプログラムをインストールされたり、アカウントを作成されるなど)でリモートコンピュータをコントロールされてしまいます。上記Microsoft社のWebサイトでは感染されたプラットフォームに対する適用可能な修正プログラムを配布しています。
アンチウイルスプログラムの更新の有無に関わらず、対応する修正プログラムを適用してください。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.762にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
■Win32/Bobax A、B駆除ツール
ESET社がフリーで提供している駆除支援ツールです。ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。
駆除ツールは下記よりダウンロードいただけます。
http://canon-its.jp/product/nd/virusinfo/vr_a40527.html
|
