現在地 HOME > 掲示板
> IT6 > 118.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT6 > 118.html
★阿修羅♪
|
|
| Tweet |
元記事には要所要所でリンクが張ってあるので、なるべく題名の下のURLのリンクから元記事をたどって下さい。
なお、添付ファイル(ウイルス・ファイル)名の「photos_arc.exe」は、「_arc」の部分が書き換わった亜種が出ている模様です。
対処法については、トレンドマイクロよりシマンテックsymantecのサイトのほうが詳しいです。
********************************************************************************
◎◎件名が「photos」のメールに注意,新種ウイルスが流行中【IT_Pro記事】お盆の休み明けに要注意
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040816/148606/
件名が「photos」のメールで感染を広げるコンピュータ・ウイルスが8月16日,国内で流行し始めている。現時点(8月16日午後5時)ではセキュリティ組織などから警告は出されていないが,ユーザーからIT Pro編集部に発見および被害報告が複数寄せられている。現時点では,ウイルス対策ソフトを使っていても検出されない場合がある。メールの送信者がたとえ知人であっても,添付されている実行形式ファイルを決して開いてはいけない。
トレンドマイクロでは「RATOS」と名付けているこのウイルスは,メールで感染を広げる。ウイルスが添付されたメールの件名は「photos」,本文は「LOL!;))))」,添付ファイル(ウイルス・ファイル)名は「photos_arc.exe」である。
【8月16日追記】今回のウイルスを,シマンテックでは「Mydoom.Q」,マカフィーでは「Mydoom.s」としている。また,警察庁は8月16日夜,今回のウイルスがまん延していることを警告した。【以上,8月16日追記】
添付ファイルを実行すると,Windowsアドレス帳(.wab)から収集したメール・アドレスに向けて,ウイルスを添付したメールを送信する。ウイルス添付メールの送信先アドレスはWindowsアドレス帳から選ばれ,なおかつ,ウイルス添付メールの送信者名を偽装しないので,ウイルス添付メールの送信者名は知人である可能性が高い。
加えて,添付ファイルが実行されると,Windowsの起動時にウイルスが実行されるようにレジストリを書き換える。さらに,特定のWebサイトにアクセスして,実行形式のファイルをダウンロードする。Webサイトに置かれたファイル名の拡張子は「.jpg」や「.gif」であるが,実体は実行形式ファイル。ダウンロードされたファイルは,Windowsフォルダに「WINVPN32.EXE」で保存される。
【8月16日追記】アンチウイルス・ベンダー各社の情報によると,特定のWebサイトからダウンロードされるファイルは,バックドア・プログラムであるという。WINVPN32.EXEとしてパソコンに保存された後,勝手に実行される。【以上,8月16日追記】
セキュリティ・ホールを突く“機能”などはないので,添付されたウイルス・ファイルを実行しない限り,ウイルスが動き出すことはない。メールの送信者名がたとえ知人であっても,添付ファイルを安易に開いてはいけない。また,ウイルス対策ソフトへの過信も禁物。今回のように,出現したばかりのウイルスは,ウイルス対策ソフトを使っていても検出できない。
ウイルスの可能性がある添付ファイルは,ゲートウエイやメール・サーバーでフィルタリングすることも考慮したい。「exe」に限らず,「pif」「scr」「bat」「com」「cmd」――といった拡張子を持つ添付ファイルは,ウイルスである可能性がある(関連記事)。
◎参考資料
◆WORM_RATOS.A(トレンドマイクロ)
(勝村 幸博=IT Pro)
W32.Mydoom.Q@mm
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mydoom.q@mm.html
発見日 2004年08月16日 (米国時間)
最終更新日 2004年08月17日 (米国時間)
W32.Mydoom.Q@mm は実行ファイルをダウンロードし、感染したコンピュータで発見したメールアドレスに対し、独自の SMTP エンジンを使用して自分自身を送信する大量メール送信ワームです。
ダウンロードされるファイルは Backdoor.Nemog として検出されます。
送信されるメールには次の特徴があります。
差出人: <詐称されています>
件名: Photos
添付ファイル: photos_arc.exe
注意:
この脅威を検出するには、シーケンス番号:34589 (Version 08/16/2004 rev 2)またはそれ以降の定義ファイルが必要です。
LiveUpdate の定義ファイルのバージョンは、 60816c (Version 08/16/2004 rev 3) です。
別名: W32/Mydoom.s@MM [McAfee], W32/MyDoom-S [Sophos], Win32.Mydoom.S [Computer Associates], WORM_RATOS.A [Trend Micro]
種別: ワーム
感染サイズ: 27136 バイト
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
影響を受けないシステム: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX
対応日(Intelligent Updater) *
2004年08月16日 (米国時間)
対応日 (LiveUpdate?) **
2004年08月16日 (米国時間)
*
Intelligent Updaterを通じたウイルス定義は随時更新されていますが、その ダウンロードとインストールは手動で行う必要があります。
**
LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。LiveUpdateの使い方については、こちら をクリックしてください。
被害状況
感染台数: 50 - 999
感染報告数: 10以上
地域危険度: 低
対処レベル: 高
駆除: 普通
危険性評価グラフ
被害状況:
中
ダメージ:
中
感染力:
高
ダメージ
発症のタイミング: n/a
発病症状: n/a
大量メール送信: 感染したコンピュータで発見したメールアドレスに対し、独自の SMTP エンジンを使用して自分自身を送信する。
ファイル削除: n/a
ファイル改ざん: n/a
パフォーマンスの低下: n/a
システムの不安定化: n/a
秘密情報の漏洩: n/a
不正アクセス: バックドアトロイの木馬をダウンロードして実行する。
感染力
メール件名: Photos
添付ファイル: photos_arc.exe
添付ファイルのサイズ: 27136 バイト
添付ファイルのタイムスタンプ: n/a
ポート: n/a
共有ドライブ: n/a
感染対象: n/a
W32.MyDoom.Q@mm が実行されると、次のことを行います。
%Temp%\Message ファイルを作成しそれをメモ帳で開きます。ファイルには無意味なデータが含まれます。
自分自身を次のファイルとしてとしてコピーします。
%System%\winpsd.exe
%Windows%\rasor38a.dll
注意: %System% は可変で、システムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) または C:\Windows\System32 (Windows XP) です。
%Windir% は可変で、Windows のインストールフォルダを参照します。標準では、このフォルダは C:\Windows (Windows 95/98/Me/XP) または C:\Winnt (Windows NT/2000) です。
"43jfds93872" というミューテックスを作成することによって、ワームの 1 コピーのみが感染したコンピュータでで実行されるように設定します。
ファイルを、次のいずれかのドメインからダウンロードします。
www.richcolour.com
zenandjuice.com
注意: ダウンロードされるファイルは Backdoor.Nemog として検出され、winvpn32.exe として保存されてから実行されます。
システム時間をチェックします。システム時間が、2004年8月20日 の 21:11:11 以降の場合、このワームは直ちに実行を終了します。
次の値を
"winpsd"="%System%winpsd.exe"
次のレジストリキーに追加することによって、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Windows の起動時に必ずワームがロードされるように設定します。
次の値を
"InstaledFlashhMx"="1"
次のレジストリキーに追加して、
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer
Backdoor.Nemog がダウンロードされて実行されたことを示す感染マーカーとして使用します。
次のレジストリキーを作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
次のいずれかの拡張子を持つファイルからメールアドレスを収集します。
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.wab
.pl
Outlook のアドレス帳からメールアドレスを収集します。
発見したメールアドレスに対し、独自の SMTP エンジンを使用して自分自身を送信します。
送信されるメールには次の特徴があります。
差出人:
差出人は詐称されています。感染したコンピュータのユーザー、または次のいずれかの名前で始まるメールアドレスを使用する可能性があります。
john
alex
michael
james
mike
kevin
david
george
sam
andrew
jose
leo
maria
jim
brian
serg
mary
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
julie
linda
sandra
ドメインは次のいずれかになります。
t-online.de
mail.com
yahoo.com
hotmail.com
メールアドレスのドメインは次の場所から読み込まれます。
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager
件名: Photos
本文: LOL!;))))
添付ファイル: photos_arc.exe
このワームは次の文字列を含むメールアドレスには自分自身を送信しません。
avpsyma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
be_loyal:
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
bugs
rating
site
contact
soft
somebody
privacy
service
help
not
submit
feste
gold-certs
the.bat
page
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
abuse
upport
www
spm
spam
www
secur
abuse
Symantec Security Responseでは、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。
不必要なサービスをすべて無効化するか、あるいは削除する。OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNSサービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
従業員に対し、次のことを徹底させる。
予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。
W32.Mydoom.M@mm 駆除ツールを使った方法
Symantec Security Response は W32.Mydoom.M@mm の感染を除去する駆除ツールを開発しました。ほとんどの場合、このワームの駆除には、駆除ツールのご使用を推奨します。
手動による駆除
以下の手順は、Symantec AntiVrus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック アンチウイルス製品のお客様を対象にして記述されています。
システムの復元機能を無効にします (Windows Me/XP の場合)。
ウイルス定義を最新版に更新します。
コンピュータをセーフモードまたは VGA モードで再起動します。
システム全体のスキャンを実行し、W32.Mydoom.Q@mm として検出されたファイルをすべて削除します。
レジストリに行われた変更を元に戻します。
具体的な手順については、以下のセクションをご覧ください。
1. システムの復元オプションを無効にする (Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。システムの復元機能は、Windows Me/XP の機能のひとつで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。
Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。
また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。
システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
Windows Me のシステムの復元機能を有効/無効にする方法
Windows XP のシステムの復元機能を有効/無効にする方法
注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。
システムの復元機能についての詳細および別の無効化方法については、"マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウィルスが発見された場合の対応方法について" をご覧ください。
2. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。最新版のウイルス定義ファイルは次の 2 通りの方法で入手することができます。
LiveUpdate を使用して入手する方法
シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加・更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑えることができます。
LiveUpdate のウイルス定義ファイルは、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。
このウイルスへの対応は、ページ上部に記載の「対応日(LiveUpdate)」欄の日付をご覧ください。
Intelligent Updater を使用して入手する方法
Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。
Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日〜土曜日) に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。
このウイルスへの対応は、ページ上部に記載の「対応日(Intelligent Updater)」欄の日付をご覧ください。
注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。
Intelligent Updater のウイルス定義ファイルは、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。
3. コンピュータをセーフモードまたは VGA モードで再起動する
コンピュータをシャットダウンし、電源を切り、少なくとも 30 秒間待ちます。その後、コンピュータをセーフモードまたは VGA モードで再起動します。
Windows 95/98/Me/2000/XP をお使いの場合は、コンピュータをセーフモードで再起動してください。具体的な手順については、"コンピュータをセーフモードで起動する方法" をご覧ください。
Windows NT 4 をお使いの場合は、VGA モードで再起動してください。
4. 感染ファイルを探して削除する
シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。
個人のお客様向け Norton AntiVirus 製品をお使いの場合 (パッケージ製品) : 詳しくは、"すべてのファイルをウイルススキャンするように設定する方法" をご覧ください。
企業・法人のお客様向け Symantec AntiVirus 製品をお使いの場合 (ライセンス製品) : 詳しくは、"NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法" をご覧ください。
システム全体のスキャンを実行します。
W32.Mydoom.Q@mm に感染しているファイルが検出されたら、[削除] をクリックします。
5. レジストリの変更を元に戻す
警告: システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず "レジストリのバックアップ方法" をお読みください。
[スタート] ボタンを押して、[ファイル名を指定して実行] をクリックします。
regedit と入力します。
その後、[OK] をクリックします。
次のレジストリキーを選択します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
画面右側で次の値を削除します。
"winpsd"="%System%winpsd.exe"
次のレジストリキーを選択します。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer
画面右側で次の値を削除します。
"InstaledFlashhMx"="1"
次のレジストリキーを削除します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
レジストリエディタを終了します。
コンピュータを通常モードで再起動します。具体的な手順については、"コンピュータをセーフモードで起動する方法" をご覧ください。
記述: Takayoshi Nakayama
題名には必ず「阿修羅さんへ」と記述してください。