Antivirus and Security Software from Sophos

W32/Dansh-A

別名
  • Kobot
カテゴリ
種類
対処方法
感染率

サマリー

 
保護提供の開始日時 2004年6月18日 14:15:31 (GMT)
検出製品 すべてのソフォス製品

アクション

ワームの除去方法をご覧ください。

Windows NT/2000/XP/2003 環境では、以下のレジストリ値を編集することが必要です。Windows 95/98/Me 環境では、このレジストリ値は削除しなくてもかまいません。レジストリの編集に関する警告をご覧ください。 タスクバーで「スタート」-「ファイルを指定して実行」をクリックします。'Regedit' と入力して「Enter」キーを押します。レジストリエディタが開きます。 レジストリを編集する前にバックアップを作成してください。「レジストリ」メニューにて、「レジストリファイルの書き出し」をクリックします。「書き出し範囲」パネルで「すべて」をクリックし、レジストリをバックアップ保存します。 HKEY_LOCAL_MACHINEの値を探し、存在する場合、削除してください: HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥ desktop = C:¥<Windows System32>¥desktop.exe レジストリエディタを閉じてください。

  • アドミニストレータパスワードを確認し、ネットワークセキュリティを見直してください。
  • AutoShareServer および AutoShareWks レジストリ値は管理用共有を無効にします。必要な場合は、再度有効にしてください。
  • マイクロソフトセキュリティ情報を読み、適切な場所に、マイクロソフトパッチ MS04-011をインストールするか、あるいは、シングルコンピュータの場合、関連する全てのセキュリティパッチを Windows Update からアップデートしてください。
注:マイクロソフト社は、MS04-011 アップデート用パッチに関する既存の問題点複数を、マイクロソフトサポート技術情報 835732 で説明しています。パッチを適用する前に、この文章を注意深くお読みください。パッチを適用後、記載されている問題が生じた場合は、マイクロソフトサポートにお問い合わせください。

詳細情報

W32/Dansh-A は、ネットワーク感染型ワームおよび IRC バックドアトロイの木馬で、実行されると、ファイル名 DESKTOP.EXE として Windows System32 フォルダに自身をコピーします。このワームはまた、リモートネットワーク共有フォルダに蔓延しようと試みます。バックドアトロイの木馬機能が、バックグラウンドでサービスプロセスとして稼動しながら、IRC チャンネル経由で感染コンピュータへの未認可のリモートアクセスを許可します。 再起動時にこのワームが確実に自動的に実行されるよう、以下のレジストリが設定されます: HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥ desktop = C:¥<Windows System32>¥desktop.exe W32/Dansh-A は、バックドアトロイの木馬コンポーネントが、リモートユーザーから適切なコマンドを受け取ると、セキュリティレベルの低いパスワードのあるネットワーク共有フォルダに蔓延します。 このワームはまた、MS Windows 2000 および MS Windows XP の OS に関して、マイクロソフトセキュリティ情報 MS04-011 に説明のある脆弱性に対するパッチをダウンロードし、適用することもできます。ダウンロードされたファイルは、ファイル名 KB835732.EXE として、Windows System32 フォルダに保存されることがあり、レジストリ値から以下のレジストリ名が削除されることがあります: HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥ avserve2.exe avserve.exe skynetave.exe lsasss.exe napatch.exe Generic Host Service このワームは、W32/Sasser ワームに対してまだ脆弱な OS を、事実上パッチしようと試みます。 W32/Dansh-A はまた、以下のレジストリ値を作成することがあります: HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Explorer¥ Uninstall¥Version¥ HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Explorer¥ Uninstall¥Version¥ HKLM¥SYSTEM¥ControlSet001¥Services¥W3SVC¥Parameters¥ DisableWebDAV = 1 MaxClientRequestBuffer = 4000 HKLM¥SYSTEM¥ControlSet001¥Services¥lanmanserver¥parameters¥ AutoShareServer = 0 AutoShareWks = 0 HKLM¥SYSTEM¥CurrentControlSet¥Services¥W3SVC¥Parameters¥ DisableWebDAV = 1 MaxClientRequestBuffer = 4000 HKLM¥SYSTEM¥CurrentControlSet¥Services¥lanmanserver¥parameters¥ AutoShareServer = 0 AutoShareWks = 0

RSS|Atom
最新のウイルス/スパイウェア脅威に関する配信サービスに登録する