HOME情報セキュリティ情報セキュリティ対策ウイルス対策「W32/Zotob」ワームに関する情報

本文を印刷する

情報セキュリティ

「W32/Zotob」ワームに関する情報

2005年 8月 15日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

このワームは、Windows のセキュリティホールを悪用するもので、ネットワークに接続しているだけで感染する可能性があるものです。感染したパソコンは、再起動を起こす可能性があります。

感染予防のためには、マイクロソフト社の提供する修正プログラムの適用が必要です。下記サイトからダウンロードして適用してください。

マイクロソフト社の修正プログラム提供サイト
http://www.microsoft.com/japan/technet/security/bulletin/ms05-039.mspx

感染した場合は、ウイルス対策ソフトウェアベンダーが配布している無償のワーム駆除ツールを適用して対処してください。

概要

このワームは、ネットワークに接続された PC の TCP 445 番ポート*を通じて、下記のセキュリティホールを攻略します。攻略に成功すると、2pac.txt というファイルを当該 PC に送り込み、実行を試みます。

*TCP 445 番ポートは、Windows 2000 や XP で、ファイルやプリンタを共有するために使われます。
  会社等の組織においては、外部からこのポートにアクセスされないようにブロックしているのが通常です。
 一般家庭で、ルータや ADSL モデムを利用してインターネットに接続している場合、通常初期設定では外部からアクセスされないようにブロックされています。
 よって、ルータや ADSL モデムを介さずにインターネットに接続(例:ダイヤルアップ等)し、修正プログラムを当てていないと感染する危険があります。

【当該セキュリティホール】
「プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588) (MS05-039)」
http://www.microsoft.com/japan/technet/security/bulletin/ms05-039.mspx

このワームが感染する可能性がある対象 OS

  • Windows 2000
  • Windows 95/98/ME/XP/2003 ※

※ セキュリティホール(MS05-039)を悪用することによるネットワーク越しでの感染はありません。

2pac.txt が実行されると、ワームプログラム(haha.exe)をダウンロードして実行します。続いて haha.exe が実行されると Windows の system フォルダに botzor.exe としてワームをコピーし、下記のレジストリを改ざんすることにより、Windows パソコンの起動時にワーム(botzor.exe)が必ず実行されるようにします。
また、任意に感染対象のコンピュータを検索し、感染拡大を試みます。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunServices

hosts ファイルの改ざん:

hosts ファイルを改ざんすることにより、マイクロソフトやワクチンベンダーなど、セキュリティ関連企業のWeb サイトへのアクセスを妨害します。

感染予防策

Windows 2000/XP/2003 が動作しているコンピュータについては、MS05-039 の修正プログラムを適用することによって感染予防を行って下さい。

また、すべてのコンピュータユーザは、メールの添付ファイルとしてワームプログラムが送られた場合などを想定し、安易にプログラムを開かないよう注意してください。

感染してしまったコンピュータからワームを削除・修復する方法

感染してしまった場合は、Windows ディレクトリに作成されたプログラムファイル(botzor.exe など)の削除とレジストリの修正が必要となります。 修復方法は、下記の情報、および下記ワクチンソフトウェアベンダーのサイトに掲載されていますのでご参照ください。Windows XP については、修復ツールや修正プログラムをダウンロードする際に Windows ファイアウォール機能を有効にしてから実施してください。

修復ツールによる方法:

無償の修復用ツールがウイルス対策ソフトウェアベンダーから配布されているので、そちらを使う方法が有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用してください。

修復ツール提供サイト

手動による方法:

手動による修復方法は、下記のウイルス対策ソフトウェアベンダーのサイトに掲載されています。

手動による修復は、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

参考情報

マイクロソフト社からの情報

ウイルス対策ソフトウェアベンダー提供の情報

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2005年 8月18日 感染する可能性がある対象 OS を修正。
2005年 8月17日 修復ツールによる修復方法を追加。
2005年 8月16日 感染する可能性がある対象 OS を修正。ベンダーのリンク追加。
2005年 8月15日 掲載。