表1にあがっている2位のRBOTの中では2005年3月28日(米国時間)に発見された"WORM_RBOT.AYO"というタイプの被害が多く、表5のような特徴を持つ。
| 項目 |
内容 |
影響を受ける
ソフトウェア |
Windows 95/98/ME/NT/2000/XP |
| 感染後の動作 |
- システムに自身をインストール し、共有フォルダ内に自身のコピーを作成 して侵入
- バックドア活動
- 情報漏洩
- プロセスの停止
- Windowsのシステムフォルダ内に"SVHOSTCS32.EXE"というファイルが作成されているかの確認
- レジストリ値が追加されているかの確認
|
| 感染の確認方法 |
脆弱性として
利用されている
セキュリティホール |
- MS03-007(815021):Windows コンポーネントの未チェックのバッファによるサーバの侵害
- MS03-026(823980):RPC インターフェイスのバッファ オーバーランによる不正なコードの実行
- MS04-011(835732):LSASS(CAN-2003-0533)とWindows のセキュリティ修正プログラムの脆弱性
|
表5:WORM_RBOT.AYOの特徴
このBOTは表6のように日本と中国で非常に多くの感染が報告されており、他の感染確認国の多くもアジア圏である。
| China |
3537 |
| Japan |
3529 |
| United States |
1683 |
| Taiwan |
1152 |
| France |
230 |
| Hong Kong |
226 |
| Singapore |
103 |
| Australia |
102 |
| United Kingdam |
38 |
| South Korea |
30 |
| Total |
10630 |
表6:各国におけるWORM_RBOT.AYOの感染状況
2005年3月28日〜2005年10月12日 トレンドマイクロ調べ
4位のSDBOTの中では2005年1月18日(米国時間)に発見された"WORM_SDBOT.AJK"というタイプによる被害が多く、表7のような特徴を持つ。
| 項目 |
内容 |
影響を受ける
ソフトウェア |
Windows 95、98、ME、NT、2000、XP |
| 動作 |
- システムに自身をインストール
- ワーム活動(ネットワーク感染)
- 共有フォルダ内に自身のコピーを作成
- バックドア活動
- DDoS(Distributed Denial of Service : 分散型サービス拒否)攻撃
- 情報漏洩
- ゲームのCDキーを収集
|
| 侵入方法 |
共有フォルダ内に自身のコピーを作成して侵入 |
| 感染確認方法 |
- 「Windowsシステムフォルダ」内に"MSNMSGR.EXE"というファイルを作成
- レジストリ値を追加
|
| レジストリの改変 |
あり |
セキュリティ
ホールの利用 |
なし |
表7:WORM_SDBOT.AJKの特徴
このBOTウイルスは、表8のように全体の約65%が中国、次いで約30%がアメリカで報告されており、感染報告件数自体は少ないものの、全世界的に感染が報告されている。
| China |
41036 |
| United States |
18421 |
| Japan |
2243 |
| Spain |
491 |
| South Korea |
149 |
| United Kingdam |
113 |
| Brazil |
99 |
| France |
91 |
| Estonia |
59 |
| Canada |
27 |
| Total |
62729 |
表8:WORM_SDBOT.AJKの感染状況
2005年1月18日〜2005年10月12日 トレンドマイクロ調べ
|
