From: =?ISO-2022-JP?B?GyRCJV8lcyVIIXobKEI=?= <Mutsumi.OTOHIME@xxxxxxxxxxxxx>
Reply-To: xxxxxxxxxxxxxxxxxxx
Subject: [xxx:01459] Deloder
To: xxxxxxxxxxxxxx
Message-Id: <3e6bf752517e$miyu3se@mint>
X-ML-Name: xxxxxxx
X-Mail-Count: 01459
X-MLServer: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-ML-Info: If you have a question, send e-mail with the body
	"help" (without quotes) to the address xxxxxxxxx;
	help=<mailto:xxxxxxxxxxx?body=help>
X-Mailer: Sweetmint Mail 1.3 
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-2022-jp
Content-Transfer-Encoding: 7bit
Precedence: bulk
Lines: 138
List-Id: mcc.fuga.jp
List-Software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-Post: <mailto:xxxxxxxxx>
List-Owner: <mailto:xxxxxxxxxxx>
List-Help: <mailto:xxxxxxxxxxxx?body=help>
List-Unsubscribe: <mailto:xxxxxxxxxxxx?body=unsubscribe>

みんとです

このパスワード列で破られてしまうサーバってどのくらいあるん
だろう（＾＾；

|Deloderは、「アドミニストレータ」アカウントに推測され易いパスワードを持つ 
|Windowsマシンに感染するネットワークワームです。 Deloderはまた、リモートアクセ 
|スツール「VCN」をインストールし、システムをインターネットに開放します。
|
|Deloderは、ポート445に接続可能なWindowsマシンを探し出す為に無作為なIPアドレス 
|をスキャンします。ポート445 (Microsoft SMB over TCP/IP)は、外部からのWindows 
|のファイル共有へのアクセスを許可します。
|
|ほとんどの企業では、ファイアウォールによってポート445へのアクセスをブロックし 
|ています。 しかしながら、ホームユーザはインターネットにポート445のアクセスを 
|許しいることが多く、「アドミニストレータ」アカウントが推測され易いパスワード 
|を 持つ場合、Deloderに感染する恐れがあります。
|
|いったんポート445にて接続可能なマシンを見つけると、Deloderはログイン名 
|「Administrator」について以下の50のパスワードでログオンを試みます。
|
|"" (empty)
|  "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
|"admin"
|"Admin"
|"password"
|"Password"
|"1"
|"12"
|"123"
|"1234"
|"12345"
|"123456"
|"1234567"
|"12345678"
|"123456789"
|"654321"
|"54321"
|"111"
|"000000"
|"00000000"
|"11111111"
|"88888888"
|"pass"
|"passwd"
|"database"
|"abcd"
|"abc123"
|"oracle"
|"sybase"
|"123qwe"
|"server"
|"computer"
|"Internet"
|"super"
|"123asd"
|"ihavenopass"
|"godblessyou"
|"enable"
|"xp"
|"2002"
|"2003"
|"2600"
|"0"
|"110"
|"111111"
|"121212"
|"123123"
|"1234qwer"
|"123abc"
|"007"
|"alpha"
|"patrick"
|"pat"
|"administrator"
|"root"
|"sex"
|"god"
|"foobar"
|"a"
|"aaa"
|"abc"
|"test"
|"test123"
|"temp"
|"temp123"
|"win"
|"pc"
|"asdf"
|"secret"
|"qwer"
|"yxcv"
|"zxcv"
|"home"
|"xxx"
|"owner"
|"login"
|"Login"
|"pwd"
|"pass"
|"love"
|"mypc"
|"mypc123"
|"admin123"
|"pw123"
|"mypass"
|"mypass123"
|"pw"
|
|ログインが成功すると、Deloderはいくつかの「Startupフォルダ」に通常 
|「INST.EXE」として自身をコピーします。また、 「DVLDR32.EXE」（Deloderの別のコ 
|ピー）を自動実行するようにレジストリにキーを書き加えます。
|
|マシンが再起動された時、Deloderは別のマシンに感染すべくスキャンを開始します。
|
|Deloderの主要バイナリはASPackにて圧縮されており、実行されると「psexec.exe」と 
|「inst.exe」を生成します。
|
|更にINST.EXEは、システムにいくつかのファイルを生成します。 VNCサーバは以下の 
|ようなファイルで構成されています。
|
|cygwin1.dll
|explorer.exe
|omnithread_rt.dll
|VNCHooks.dll
|
|ユーティリティとして以下があります。
|
|psexec.exe (UPX packed, from sysinternals)
|
|下記は、13のサーバリストに接続するIRCバックドアです。
|
|rundll32.exe (UPX packed)
|
|感染の副次効果として、共有フォルダが共有できなくなります。
|
|Deloderは、2003年3月9日12時頃（グリニッジ標準時）発見されました。