WORM_DELODER.A - 2003/3/10

感染警報VAC-３　安易なパスワードを狙いリモートログインを試みるワーム「WORM_DELODER.A」（デロダーA）

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長 兼CEO：スティーブ・チャン）は、TCPポート445番を通じてコンピュータにリモートログインし、自身のコピーを作成することで侵入し、ハッカーからのリモートコントロールを可能にするワーム「WORM_DELODER.A」（デロダー.A）について、45件の感染報告が確認※されていることから、ウイルス警報VAC-3※1にて警告をすることをお知らせします。
トレンドマイクロ製品ではすでにパターンファイル480以降にて対応※2しています。

※ 日本のトレンドマイクロのサポートセンターに寄せられた報告件数であり、ウイルス発見のみの数字も含みます。
また、「BKDR_DELODER.A」の報告件数をあわせてカウントした件数となります。
※1　VAC（Virus Alert Code）：トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を1～5までのレベルで表示しています。（VAC-1が最も脅威度が高い）VACについての詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/virusinfo/vac.asp
※2　今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。

本ワームは安易に設定されたパスワードを想定して、コンピュータへのログオンを試みるため、ワームが狙うパスワード（以下URLで確認できます。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DELODER.A&VSect=T ）と同じパスワードを設定していないか注意してください。特に「Windows XP HomeEdition」ではデフォルトでAdministratorのパスワードが設定されていないので必ず設定を行うようにしてください。パスワードは定期的に変更するのがセキュリティ上、望ましいとされています。この機会にパスワードの見直しを行ってください。

「WORM_DELODER.A」（デロダーA）の特徴と対策

●現時点（3月10日18時現在）の感染被害報告件数：
45件（「BKDR_DELODER.A」の報告件数は17件を含む）

●ワームの特徴：
「WORM_DELODER.A」（デロダー.A）は、Windows2000/XP環境で活動を行い、自身のコピーをネットワーク経由で頒布する不正プログラムです。フリーのリモートコントロールツールである「PsExec」を悪用し、TCPポート445番を通じて、ネットワーク上のコンピュータに対してAdministratorとしてあらかじめ用意したパスワードを全て試してリモートログインを試みます。そして、リモートログインできたコンピュータに自身のコピーを作成します。 また、バックドア型ハッキングツール「BKDR_DELODER.A」を感染パソコンに作成します。これらのファイルは、リモートで実行されます。
感染すると、コンピュータを起動するたびに自動起動するように Windows レジストリを改変します。
また、感染コンピュータ上の隠し共有の設定を全て無効にします。

●「BKDR_DELODER.A」の活動：
「WORM_DELODER.A」のウイルスドロッパー活動により、コンピュータにコピー、実行されます。
フリーのリモートコントロールツールである「VNC」のモジュールを悪用し、潜入したコンピュータを外部のハッカーがリモートコントロールできるように設定します。また、コンピュータの起動時にハッキングツールが自動的に実行されるようにレジストリの値を追加します。

このツールのメインプログラムとなる"RUNDLL32.exe"は、感染したコンピュータがリモートアクセス可能な状態になったときに、ハッカーに通知するオンライン通知機能があります。はじめにランダム選択されたニックネームを作成し、ポート6667番を使用して下記IRCサーバのいずれかに接続を試み、接続可能の通知メッセージを送ります。
cocket.nailed.org、cocket.mooo.com、cocket.bounceme.net、cocket.phathookups.com
cocket.gotdns.com、cocket.ma.cx、cocket.orgdns.org、cocket.minidns.net、
cocket.dyn.nicolas.cx、cocket.dynup.net、cocket.pokemonfan.org、cocket.staticcling.org
cocket.getmyip.com

さらに、「VNC」のモジュールを悪用し、メモリに常駐します。常駐中は継続的に感染コンピュータの画面コピーを行い、リモート上のハッカーに送信されます。また、感染コンピュータのデスクトップ画面や活動状況などもハッカー側のモニタで監視することが出来ます。リモート上のハッカーは、IRC経由で通知された情報のログインパスワードを使用し、VNCサーバプログラムとの接続に成功すると、感染コンピュータのリモートコントロールを行うことが可能となります。

1． 最新の検索エンジン・パターンファイルにアップデートしてください。
2． 「手動検索」にてシステム全体を検索してください。
3． 検出したファイルを削除してください。

トレンドマイクロではウイルスによって改変されたシステム情報を削除するツール、TSC (TrendMicroSystemCleaner: トレンドマイクロシステムクリーナ）をWeb上で公開しています。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

●ウイルスに関する詳細は下記URLよりご覧ください。

■「WORM_DELODER.A」詳細情報
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DELODER.A

 ■「BKDR_DELODER.A」詳細情報
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_DELODER.A

※TRENDMICROはトレンドマイクロ株式会社の登録商標です。
※各社の社名および製品名は、各社の商標又は登録商標です。