TOPICS

平素は弊社Victor “InterLink”製品をご愛用いただきまして誠にありがとうございます。

標記の件、2004年6月1日(米国時間)に発見されました「W32.Korgo.F」に関しまして、2004年6月2日、株式会社シマンテックは報告件数が増加したため、Symantec Security Responseを、この脅威の危険度を2から3に引き上げた情報更新をおこなっております。
このウイルスはマイクロソフト株式会社が2004年4月14日に公開しました「MS04-011」で修正される脆弱性を悪用して拡散します。
早急にWindows Updateを実行した上でウイルス定義ファイルを更新し、ローカルドライブのスキャンを行うなどの対策をしてください。

「W32.Korgo.F」は、「Korgo」の亜種で、ネットワーク感染/バックドア設置型のワームです。感染すると複数のTCPポートを開放し外部からアクセス可能な状態にします。また、「MS04-011」で修正された「Windows LSASSの脆弱性」を悪用して拡散を試みます。
 
「MS04-011」対策が行われていないコンピューターは、インターネットに接続しているだけで「W32.Korgo.F」に感染するおそれがあります。


現在報告されている概要は、下記のようになります。
ウイルスの特徴
1. 種別: ワーム
2. 亜種: 「Korgo」
3. 別名:
Worm.Win32.Padobot.e [Kaspersky]
4. 感染すると、ワームは次のことを行います。
ワームが実行されているフォルダから、Ftpupd.exe ファイルを削除します。
次の値を
"System Service Manager"
"System Restore Service"
"Bot Loader"
"Windows Update Service"
"WinUpdate"
"Windows Security Manager"
"avserve.exe"
"avserve2.exe"
次のレジストリキーから削除します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
次のレジストリキーで、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
次の値を探します。
"Update Service"
値 "Update Service" が存在しない場合、ワームは次の値を
"Client"="1"
次のレジストリキーに追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
値 "Update Service" が存在するけれども、ファイルのパスがワームとは異なる場合、ワームは次のことを行います。
a. 自分自身を %System%\<ランダムなファイル名>.exe としてコピーします。
* %System%は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。 標準では、このフォルダはC:\Windows\System32(Windows XP)です。
b. 次の値を
"Disk Defragmenter"="%System%\<ランダムなファイル名>.exe"
次のレジストリキーに追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
c. <ランダムなファイル名>.exe を起動し、その後、カレントプロセスを終了します。
値 "Update Service" が存在し、かつ、その値のパスがワームのパスと一致する場合、ワームは次の値を
"Client"
次のレジストリキーから削除します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
次のTCPポートで接続を待機します。
113
3067
ランダムなポート - ワームはこれらのポートを通じて自分自身を送信します。
特定のIRCサーバのTCPポート6667に接続を試みます。
ランダムなIPアドレスのコンピュータに対し「Windows LSASSの脆弱性 (マイクロソフト セキュリティ情報 MS04-011参照) 」を悪用して接続を試みます。接続先のコンピュータが「MS04-011」未適用の場合、接続先のコンピュータは感染しているコンピュータに接続し、ワームをダウンロードしようとします。

対処方法
Norton AntiVirus等のウイルス対策ソフトを常駐させ、ウイルス定義ファイルを更新した最新版で、ドライブのスキャンを行なってください。またコンピューターウイルスは日々、新種のウイルスや亜種が出現しますので、ウイルス定義ファイルは常に最新版のものを使用し監視してください。
 
本ウイルスに関する対処方法や既に感染してしまった場合の駆除方法などの詳細情報は下記 Home ページをご参照ください。

株式会社 シマンテック

参考情報

「Microsoft Windows のセキュリティ修正プログラム (835732)」(MS04-011)
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp

「絵で見るセキュリティ情報」(MS04-011)
http://www.microsoft.com/japan/security/security_bulletins/MS04-011e.asp

InterLink(XP) Home ページ
緊急:Microsoft Windows のセキュリティ上の脆弱性に関する情報」  
http://www.victor.co.jp/interlink/xp/topics/index_windowsupdate.html

(c)Copyright 2004 VICTOR COMPANY OF JAPAN, LIMITED All Rights Reserved.