このページの本文へ移動

富士通

※今後表示しない場合は右のボタンをクリック(一部装置では再表示される場合があります)対象外、または実施済み
  1. ホーム >
  2. FMVサポート >
  3. パソコン活用情報 >
  4. ウイルス・セキュリティ情報 >
  5. 重要なお知らせ >
  6. ウイルス情報:「W32.Zotob.E」にご注意ください

FMVユーザーの方はユーザー登録をお願いします。電話やメールでのお問い合わせの際に必要です。

新規ユーザー登録


2005年 8月17日
富士通株式会社

ウイルス情報:「W32.Zotob.E」にご注意ください

W32.Zotob.Eは、バックドアを開いて TCP ポート 445 で Microsoft Windows プラグアンドプレイの脆弱性を悪用して拡散するワームです。詳しくはこちら

※ウイルス対策ソフトの定義ファイルの更新など、対策をお願いいたします。予防方法はこちら



■ 影響を受ける OS

このウイルスは以下のOSを使用しているPCに感染します。

  • Windows 98
  • Windows Me
  • Windows NT
  • Windows 2000
  • Windows XP


■ 予防方法

このウイルスは、セキュリティホールを利用して感染活動を行います。
以下のマイクロソフト社の説明を参照し、セキュリティホールを修正してください。
Microsoft Windows プラグアンドプレイの脆弱性 (MS05-039) (マイクロソフト社)

セキュリティ対策の面から、常に最新のパッチを適用していただきますようお願いいたします。

また、最新のウイルスに対応できるように、Norton Internet Securityなどのウイルス対策ソフトを利用し、最新のウイルス定義ファイルが提供されていないか常にチェックするようにしましょう。
Norton Internet Securityの定義ファイルの更新について
Norton AntiVirusの定義ファイルの更新について
VirusScanの定義ファイル更新について



■ 特徴・動作

W32.Zotob.E に感染すると、コンピュータの処理速度が低下します。
空きメモリの配分、ディスク・スペースを消費するファイルの作成、プログラムのロードや実行速度の低下などが含まれます。

W32.Zotob.E が実行されると、次のことを行います。

  1. "wintbp" というミューテックスを作成することによって、侵入先のコンピュータ上でワームのコピーが 1 つのみ実行されるようにします。


  2. %System%\wintbp.exe として自分自身をコピーします。


    3. 注意:
    %System% は可変でシステムフォルダを参照します。
    標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

  3. 次の値を

    "Wintbp" = "%System%\wintbp.exe"

    次のレジストリサブキーに追加することによって、

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Windows の起動時に必ずワームが実行されるように設定します。


  4. ネットワーク接続とルート可能な IP アドレスを検出しようとします。ネットワークに接続されていない、またはコンピュータの IP アドレスがルート可能でないとワームが判断した場合、ワームは正しく動作することに失敗する場合があります。


  5. 次の IP アドレスに接続することでバックドアを開こうとします。

    70.20.27.115

  6. 複数の TCP ポートを開きます。


  7. 侵入先のコンピュータの IP アドレスに基づいてランダムに生成された IP アドレスへパケットを送信します。 IP アドレスは侵入先のコンピュータの最初の 2 つのオクテットを使い、3 番目と 4 番目にはランダムに生成された値を使います。


  8. 次の脆弱性を悪用することによって拡散する可能性があります。

    TCP ポート 445 を使用して、Microsoft Windows プラグアンドプレイのバッファオーバーフローの脆弱性 (マイクロソフトセキュリティ情報 MS05-039 参照) を悪用する。


  9. 成功した場合、ターゲットのマシンに %Temp%\[番号].bat という名前のファイルを作成します。 このファイルには侵入先のコンピュータからワームのコピーをダウンロードする TFTP スクリプトが含まれています。 このファイルは [番号].exe として保存されてから実行されます。 ワームは参加した IRC チャネル の 悪用に成功した IP のログを記録します。

    10. 注意:[番号] は 0 から 9 のいくつかのランダムな番号を意味します。



■ 感染時の対処方法

Norton Internet Securityなどのウイルス対策ソフトをお使いの方は、最新のウイルス定義ファイルをダウンロードし、パソコン全体に対してウイルスチェックをかけて駆除をおこなってください。

また、ウイルス対策ソフトをお持ちでない場合には、シマンテック社から専用の駆除ツールが提供されていますので、そちらをご利用ください。

「W32.Zotob.E 駆除ツール (株式会社シマンテック)」
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.zotob.removal.tool.html

詳しくは、以下の参考情報をご覧ください。



■ 参考情報

ウイルス感染の対処・予防方法については、以下を参考にしてください。

<ウイルスの詳細>
ウイルス対策ソフトメーカーによって名称が異なります。情報をご確認の際はご注意ください。

シマンテック「W32.Zotob.E」
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.zotob.e.html
トレンドマイクロ「WORM_RBOT.CBQ」
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.CBQ
ネットワークアソシエイツ(マカフィー)「W32/IRCbot.worm!MS05-039」
http://www.mcafeesecurity.com/japan/security/virI.asp?v=W32/IRCbot.worm!MS05-039

<ウイルス対策について>

「もしウイルスに感染してしまったら…」
  → http://azby.fmworld.net/support/security/practice/practice03.html

「Norton Internet Securityでセキュリティ対策!(ウイルス編)」
  → http://azby.fmworld.net/support/security/practice/practice04.html


※ 本内容は予告なく変更することがございます。

- 以上 -

ページの先頭へ

製品情報

電子ペーパー「QUADERNO」

富士通パソコン通販 - FMV購入

FMVサポート

Chromebookサポート

My Cloud

企業情報

Copyright 2016 - 2025 Fujitsu Client Computing Limited