W32/Rbot-BL

ワームの除去方法をご覧ください。

W32/Rbot-BL は、リモートネットワーク共有フォルダに蔓延しようとするワームです。バックドアトロイの木馬機能も含み、バックグラウンドでサービスプロセスとして稼動しながら、IRC チャンネル経由で感染コンピュータへの未認可のリモートアクセスを許可します。

W32/Rbot-BL は、バックドアトロイの木馬コンポーネントがリモートユーザーから適切なコマンドを受け取ると、セキュリティレベルの低いパスワードのあるネットワーク共有フォルダに蔓延します。

W32/Rbot-BL は、ファイル名 WUAMGRD.EXE として Windows System フォルダに自身をコピーし、システム起動時に自身を実行できるよう、以下の場所にレジストリ値を作成して、それを1分毎にリセットしようと試みます：

HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥Run
HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥RunServices
HKCU￥Software￥Microsoft￥Windows￥CurrentVersion￥Run

W32/Rbot-BL は以下のレジストリ値を設定し、それを2分毎にリセットしようと試みます：

HKLM￥SOFTWARE￥Microsoft￥Ole￥EnableDCOM = "N"
HKLM￥SYSTEM￥CurrentControlSet￥Control￥Lsa￥restrictanonymous = "1"

W32/Rbot-BL は、ホストコンピュータ上の C$、D$、E$、IPC$ および ADMIN$ ネットワーク共有フォルダを2分毎に削除しようと試みます。

W32/Rbot-BL は、REGEDIT.EXE、MSCONFIG.EXE および NETSTAT.EXE など、特定のウイルス対策およびセキュリティプログラム関連のプロセスを終了しようとします。