HOME情報セキュリティ情報セキュリティ対策ウイルス対策新種ウイルス「W32/Deloder」に関する情報

本文を印刷する

情報セキュリティ

新種ウイルス「W32/Deloder」に関する情報

2003年 3月13日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

※追記すべき情報がある場合には、その都度このページを更新する予定です。

このウイルスは、あらかじめ用意したパスワード辞書を使用して、 インターネットに接続された不特定のパソコンにログインを試みます。 ログインに成功すると、そのパソコンにウイルスをコピーして感染を広めます。

また、ウイルスはパソコンを遠隔操作するソフトウェアの一種であるVNC と チャットを行うソフトウェアの一種である IRC を利用したトロイの木馬をインストールします。 トロイの木馬をインストールされた状態では、外部から第三者にパソコンを操作される可能性があります。

ウイルス定義ファイルの更新等によりワクチンソフトを最新の状態にするとともに、

  • Administrator(管理者権限)のパスワード設定を見直す
  • tcp/445 などのファイル共有サービスで利用するポートのフィルタリングを行う

等の対策が必要です。

ワクチンソフトのウイルス定義ファイルを最新版に更新していないと発見できないことがあります。 各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

>> ワクチンソフトに関する情報

  • 影響を受けるコンピュータ

    Windows XP Professional / Windows 2000
    ( Windows XP Home Edition は初期設定であれば、ログインに失敗するため外部からは感染しません。)

概要

このウイルスは、Windows 2000 /XP Professional で動作するウイルスで、インターネットに接続されたパソコンに対し、下記のパスワードを Administrator のパスワードとしてログインを試みます。

【パスワード】
admin、Admin、password、Password、1、12、123、1234、12345、123456、1234567、12345678、 123456789、654321、54321、111、000000、00000000、11111111、88888888、pass、passwd、 database、abcd、abc123、oracle、sybase、123qwe、server、computer、Internet、super、123asd、 ihavenopass、godblessyou、enable、xp、2002、2003、2600、0、110、111111、121212、123123、 1234qwer、123abc、007、alpha、patrick、pat、administrator、root、sex、god、foobar、a、aaa、abc、 test、test123、temp、temp123、win、pc、asdf、secret、qwer、yxcv、zxcv、home、xxx、owner、login、 Login、pwd、love、mypc、mypc123、admin123、pw123、mypass、mypass123、pw、 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 、パスワードなし

ログインに成功するとパソコンにウイルス本体である Dvldr32.exe と inst.exe をコピーします(コピー先は通常 Windowsフォルダになる)。
また、ウイルスにログインされたパソコンの下記フォルダにウイルス自身をコピーします (inst.exe という名前になるが、先にウイルスが作成した inst.exe ではなく、   Dvldr32.exe のファイル名を変更したもの)。

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\inst.exe
C:\WINDOWS\Start Menu\Programs\Startup\inst.exe
C:\WINNT\All Users\Start Menu\Programs\Startup\inst.exe

( 英語版以外のOSでは上記フォルダは存在しないため、コピーが失敗する可能性があります。)

ウイルスはレジストリの
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\messnger
にウイルスファイルへのフルパスを登録します。

ウイルスはスレッドを作り、IPアドレスの最初の1桁を乱数、残りの桁は0から順番に選び、 感染を広げるために、ポート445にアクセスします。

C$、D$、F$、ADMIN$、IPC$、E$ の共有が一時的に解除されますが、これらの共有はOSを再起動することにより自動的に修復されます。

inst.exe の動作

inst.exe が実行されるとシステムフォルダに cygwin1.dll をコピーし、Windowsフォルダの fonts 以下にexplorer.exe、omnithread_rt.dll、VNCHooks.dll、rundll32.exe をコピーします。cygwin1.dll は フリーソフトウェア CYGWIN のライブラリであり、explorer.exe、omnithread_rt.dll、VNCHooks.dll は フリーソフトウェア VNC のプログラム本体です (ウイルスではない)。

レジストリの
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以下に Explorer というキーが作られ explorer.exe のフルパスが登録されます。また、TaskMan というキーが作られ rundll32.exe が登録されます。これにより起動時に VNC と rundll32.exe が実行されるようになります。

rundll32.exe の動作

rundll32.exe が実行されると複数の IRC のチャンネルに接続します。

修復に関する注意事項

感染してしまった場合の修復方法は、レジストリの修正が必要となります。 手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、 コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、 コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

手動による方法:

WindowsフォルダにあるDvldr32.exe、inst.exe、psexec.exe、Windowsフォルダの fonts以下にあるexplorer.exe、omnithread_rt.dll、VNCHooks.dll、rundll32.exeがあれば 削除して下さい。

システムフォルダにある cygwin1.dll は不要ならば削除して下さい。

また、 もし下記のファイルがあるならば、それらを削除して下さい。

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\inst.exe
C:\WINDOWS\Start Menu\Programs\Startup\inst.exe
C:\WINNT\All Users\Start Menu\Programs\Startup\inst.exe

レジストリの
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以下に messnger、Explorer、TaskMan があるならば、それらを削除して下さい。

修復ツールによる方法:

また、無償の修復用ツールがワクチンベンダーから配布されているので、 そちらを使う方法も有効です。各ベ ンダーが記述している「使用上の注意」をよく読み、 自己の責任において使用してください。

修復ツール提供サイト

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2003年 3月13日 掲載