HOME情報セキュリティ情報セキュリティ対策ウイルス対策「W32/IRCbot」に関する情報

本文を印刷する

情報セキュリティ

「W32/IRCbot」に関する情報

2005年 8月 17日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

 このワームは、Windows のセキュリティホールを悪用するもので、ネットワークに接続しているだけで感染する可能性があるものです。感染したパソコンは、再起動を起こす可能性があります。

 感染予防のためには、マイクロソフト社の提供する修正プログラムの適用が必要です。下記サイトからダウンロードして適用してください。

 感染した場合は、ウイルス対策ソフトウェアベンダーが配布している無償のワーム駆除ツールを適用して対処してください。

概要

このワームは、ネットワークに接続された PC の TCP 445 番ポート*を通じて、下記のセキュリティホールを攻略します。攻略に成功すると、自分自身のコピーを当該 PC に送り込み、実行を試みます。

*TCP 445 番ポートは、Windows 2000 や XP で、ファイルやプリンタを共有するために使われます。
 会社等の組織においては、外部からこのポートにアクセスされないようにブロックしているのが通常です。
 一般家庭で、ルータや ADSL モデムを利用してインターネットに接続している場合、通常初期設定では外部からアクセスされないようにブロックされています。
 よって、ルータや ADSL モデムを介さずにインターネットに接続(例:ダイヤルアップ等)し、修正プログラムを当てていないと感染する危険があります。

【当該セキュリティホール】

このワームが感染する可能性がある対象 OS

  • Windows 2000
  • Windows 95/98/ME/XP/2003 ※

※ セキュリティホール(MS05-039)を悪用することによるネットワーク越しでの感染はありません。ただし、メールの添付ファイルとしてワームプログラムが送られた場合などに、そのファイルを開くことにより感染するケースが想定されます。

送り込まれたワームプログラムが実行されると、wintbp.exe としてワームのコピーを Windows の system フォルダに作成します。また、下記のレジストリを改ざんすることにより、Windows パソコンの起動時にワーム(wintbp.exe)が必ず実行されるようにします。

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

感染すると、任意に感染対象のコンピュータを検索し、さらなる感染拡大を試みます。再起動を起こすなどの症状が発生する可能性があります。

また、特定のIRC(インターネットリレーチャット)サーバに接続し、攻撃者からの指示を待ち受けます。すなわち、外部からの指示により指定された処理(攻撃活動・感染活動・スキャン活動など)を実行するボット型のワームです。

感染予防策

Windows 2000/XP/2003 が動作しているコンピュータについては、MS05-039 の修正プログラムを適用することによって感染予防を行って下さい。

また、すべてのコンピュータユーザは、メールの添付ファイルとしてワームプログラムが送られた場合などを想定し、安易にプログラムを開かないよう注意してください。

感染してしまったコンピュータからワームを削除・修復する方法

感染してしまった場合は、Windows ディレクトリに作成されたプログラムファイル(botzor.exe など)の削除とレジストリの修正が必要となります。 修復方法は、下記の情報、および下記ワクチンソフトウェアベンダーのサイトに掲載されていますのでご参照ください。Windows XP については、修復ツールや修正プログラムをダウンロードする際に Windows ファイアウォール機能を有効にしてから実施してください。

修復ツールによる方法:

無償の修復用ツールがウイルス対策ソフトウェアベンダーから配布されているので、そちらを使う方法が有効です。各ベンダーが記述している 「使用上の注意」をよく読み、自己の責任において使用してください。

修復ツール提供サイト

手動による方法:

手動による修復方法は、下記のウイルス対策ソフトウェアベンダーのサイトに掲載されています。

手動による修復は、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

参考情報

ウイルス対策ソフトウェアベンダー提供の情報

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2005年 8月18日 感染する可能性がある対象 OS を修正。
2005年 8月17日 掲載。