WORM_SPYBOT.BSA

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

ワームは、ネットワーク共有フォルダを経由してコンピュータに侵入します。

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\ipz2.exe

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

感染活動

ワームは、以下のユーザ名およびパスワードを用いて、パスワード保護された共有フォルダにアクセスします。

• 00000
• 12321
• 12345
• 54321
• 111111
• 121212
• 123123
• 123321
• 123456
• 123456
• 654321
• 1234321
• 1234567
• 11111111
• 12341234
• 12344321
• 12345678
• 12345678
• 87654321
• 123123123
• 123454321
• 123456789
• 123456789
• 987654321
• 987654321
• 1234554321
• 1234567890
• 1q2w3e
• 1q2w3e4r
• 1q2w3e4r5t
• 1qa2ws3ed
• 1qaz2wsx
• aaaaaa
• aaaaaaaa
• abcdef
• abcdefg
• abcdefgh
• abcdefghi
• abcdefghij
• Admin
• admin
• Administrator
• administrator
• africa
• anime
• april
• attack
• azerty
• battle
• battleship
• bender
• bicycle
• billgates
• blood
• boobs
• bottle
• brent
• brentcorrigan
• bucks
• caddy
• calculator
• cannon
• canon
• captain
• cavern
• chopper
• cinema
• coffee
• computer
• copypaste
• copyright
• creative
• cyber
• defence
• dream
• earth
• elevate
• embrace
• facebook
• fighter
• flight
• flower
• freedom
• general
• gentoo
• google
• grant
• grinder
• guitar
• handy
• harry
• harrypotter
• health
• helicopter
• hiroshima
• horror
• human
• inferno
• internet
• israel
• kamikaze
• leela
• leeps
• light
• linux
• login
• lover
• lucifer
• major
• master
• memory
• metall
• microsoft
• minigun
• mondo
• motor
• mouse
• mozilla
• necromancer
• nekomimi
• neuron
• nigger
• norad
• nothing
• obvious
• october
• offence
• passwd
• password
• paswd
• pasword
• people
• pilot
• pirate
• police
• potter
• press
• qazwsx
• qazwsxedc
• qqqqqq
• qqqqqqqq
• qweasd
• qwerasdf
• qwert
• qwerty
• qwertyu
• qwertyui
• qwertyuio
• qwertyuiop
• radmin
• rastaman
• right
• robot
• rocket
• rotor
• samael
• satan
• scada
• share
• shark
• sharp
• shinny
• skate
• skynet
• skyscraper
• solder
• soldier
• south
• southpark
• space
• stack
• starcraft
• starwars
• stereo
• stick
• summer
• tolerance
• ubuntu
• universe
• username
• vader
• venus
• video
• warcraft
• warhammer
• welcome
• winter
• witch
• xerox
• ytrewq
• zeitgeist
• zzzzzzzz

バックドア活動

ワームは、以下のポートを開き、リモートコマンドを待機します。

• 689

ワームは、不正リモートユーザからの以下のコマンドを実行します。

• Add/remove programs from firewall trust list
• Upload/download files
• Use Telnet and Radmin
• Install/delete service
• Modify DNS settings
• Connect to peer-to-peer network

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://www.myipnumber.com/
• http://showip.net/
• http://whois.domaintools.com/
• http://ip-address.domaintools.com/
• http://www.moanmyip.com/
• http://www.123myip.co.uk/
• http://www.dnsstuff.com/
• http://www.ip-adress.com/
• http://www.hostip.info/