TCPポート445番をスキャンするトロイの木馬型ウイルス「DELODER」

■URL
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DELODER.A
http://www.symantec.com/avcenter/venc/data/w32.hllw.deloder.html
http://www.f-secure.com/v-descs/deloader.shtml
http://www.sophos.com/virusinfo/analyses/w32delodera.html

　ウイルス対策企業らは、TCPポート445番をスキャンするトロイの木馬型ウイルス「DELODER」を警告している。リモートコントロールソフトを利用し、Administratorとして接続を試みる。

　このウイルスは、ログイン時に“000000”“administrator”“password”など約70種のパスワードを入力する。複雑なパスワードを設定しておけば、ウイルスの侵入を拒むことが可能だ。

　リモートログインに成功すると、ウイルスは「Dvldr32.exe」というファイルを作成、レジストリー情報を書き換え自動起動を可能にする。悪用されているリモートコントロールソフトは、フリーで頒布されている「PsExec」だ。また、以下のパスに「inst.exe」のファイル名で自身のコピーを作成するほか、Windowsのシステム共有設定をすべて無効にする。

C:\WINNT\All Users\Start Menu\Programs\Startup\
C:\WINDOWS\Start Menu\Programs\Startup\
C:\Documents Settings\All Users\Start Menu\Programs\Startup\

　トレンドマイクロでは、危険度「中」、イエローアラートとして警告している。また、SymantecやF-Secureでは危険度「2」として警告している。現在、ウイルスは中国から発生したものと報告されている。

　トレンドマイクロでは、このウイルスはWindows 2000/XPでのみ活動可能としているが、Symantecでは、Windows 95/98/Me/NTも影響を受けるOSとしている。

(2003/3/10)

[Reported by okada-d@impress.co.jp]