VBS/Lisa.A@mm対策

11 3 月 2010 In: セキュリティ情報

VBS/Lisa.A@mm対策,
ウイルス情報ウイルス名リスク度VBS/Lisa.A@mm企業ユーザ: 低
個人ユーザ: 低類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)4216対応定義ファイル
(現在不可欠とされるパブジョン)4216 03/04/11

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

VBS/Lisa.A@mmはスクリプト型ウイルスで、定義ファイル4216以降を使うとVBS/Generic@MMとして検出されます。

繁殖

VBS/Lisa.A@mmは、以下のような電坊主メールで届きます。

件名:Click YES and vote against war!

本文:

ユーザが上記の電坊主メールを開くと、VBS/Lisa.A@mmは、アルファベットをランダムに組み合わせた名前のフォルダを最大5,000個作成して、ハードディスクを一杯にします。これらのフォルダには、“I will never stop loving you.”という文字列を含むテキストファイルを多数作成します。

次に、Microsoft Outlookのアドレス帳にあるすべての宛先に自身を発信します。

ハードディスク上のすべてのVBスクリプトにウイルスのコードを追加して感染します。

VBS/Lisa.A@mmは、MIRCおよびKazaaネットワークでも繁殖します。以下のファイル名で、Kazaaのダウンロードディレクトリに自身を落とし込みます。

Silvia Saint Gangbang.avi.vbs
Britney Spears nude.jpg.vbs
Christina Aguilera Nipple.jpg.vbs
Lolita.jpg.vbs
Madonna - Song.mp3.vbs
Jennifer Lopez.mp3.vbs

破壊的な発病ルーチン

ハードディスク上のすべての*.DOCを削除します。REGEDIT.EXEファイルおよびWIN.COMファイルも消して、ターゲットマシンがWindowsを復活動できないようにします。SER.DATファイルおよびSYSTEM.DATファイルを削除することもあります。

AUTOEXEC.BATファイルに以下の行を追加してC:\割り知ってブを再フォーマットします。

format C: /q /autotest /u

以下の症状が見られる時、このウイルスに感染している割合があります。

大量メール発信を実行すると、以下のレジストリキーを作成します。

HKEY_CLASSES_ROOT\Lisa
HKEY_CLASSES_ROOT\Lisa\Mail “Send” = 1

以下のレジストリキーを改変し、レジストリをフックして起動時に自身を実行します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“Upzxqxv” = wscript.exe C:\WINDOWS\UPZXQXV.vbs %

ハードディスクが、C:\PPPRRYRのようなランダムなアルファベット名の隠しフォルダで一杯になります。

Windowsを起動できません。

感染手立て

VBS/Lisa.A@mmは電坊主メールメッセージで届き、ユーザがその電坊主メールを開くと感染します。


,VBS/Lisa.A@mm対策

W32/Listas.worm対策

11 3 月 2010 In: セキュリティ情報

W32/Listas.worm対策,

ウイルス情報ウイルス名リスク度W32/Listas.worm企業ユーザ: 低
個人ユーザ: 低類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)4206対応定義ファイル
(現在不可欠とされるパブジョン)4322 02/05/28

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

ウイルスのめりはり

このウイルスは、フロッピーディスクに自身を Listasfg.exe としてコピーして拡散しようとします。感染マシンのシステム情報を取得して、規定のアドレスに対して E-mail を発信しようとします。試験では、機能しませんでした。

起動すると、ウイルスは、Windows と System ディレクトリに自身をコピーします。試験では、System ディレクトリには、

%SysDir%\winr32.exe

というファイル名で自身をコピーし、Windows ディレクトリには、下記のどちらかで自身をコピーします。

%WinDir%\winges32.exe

%WinDir%\wrpen32.exe

下記のレジストリキーを作成し、システム起動時に起動します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run_ %26quot;Init Scan%26quot; = %Worm Path%

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run_ %26quot;Respaldo del Sistema%26quot; = %Worm Path%

システム起動時にウイルスを起動するとばっちりでリファレンスを win.ini ファイルに追加します。

load = %SysDir%\winr32.exe

感染マシンのブラウザ パブジョン情報からとっくに一つのレジストリ エントリを作成します。

HKEY_CURRENT_USER\Software\Microsoft\MS SETUP (ACME)\Table Files

以下の症状が見られる時、このウイルスに感染している割合があります。

下記のファイルが存在する。

%SysDir%\winr32.exe

%WinDir%\winges32.exe

%WinDir%\wrpen32.exe

a:\Listasfg.exe

感染手立て

駆逐手立て■現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足


,W32/Listas.worm対策

JS/Redirector.i対策

11 3 月 2010 In: セキュリティ情報

JS/Redirector.i対策,

ウイルス情報ウイルス名リスク度JS/Redirector.i企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5906対応定義ファイル
(現在不可欠とされるパブジョン)5912 2010/02/28

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

JS/Redirector.iはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

ファイル情報:

MD5 - 4A398C912289F71FD193EEC389DD2C04

SHA - 905ECDDD6C621E99DE46BFACC5DB56B3ACFB6314

ウイルスのめりはり

JS/Redirector.iは通常、HTMLページに挿入されるJavaScriptです。また、ユーザが思っているのと異入るサイトにユーザをリダイレクトする悪質なWebサイトでも配布されます。さらに、ハッカーがスクリプト指向のHTMlベースの電坊主メールメッセージを発信する時があります。

RS/Redirector.iはユーザのブラウザを乗っ取り、マルウェアをダウンロードして実行する悪質なWebサイトにリダイレクトします。

RS/Redirector.iが実行されると、以下の悪質なWebサイトに接続します。

91.121.[削除].139

91.204.[削除].79

以下の症状が見られる時、このウイルスに感染している割合があります。

Webサイトのリダイレクトが行われます。

上記のIPアドレスへの予期しないネットワーク接続が存在します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電坊主メールなどを便秘気味て配布されます。

駆逐手立て

AVERTは、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆逐についての補足

,JS/Redirector.i対策

Troi対策

10 3 月 2010 In: ウイルス

Troi対策,

ウイルス情報ウイルス情報

ウイルス名Troi
リスク度低対応定義ファイル4002 92/03/01アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

Troiは、メモリ常駐型のファイル感染ウイルスで、COMMAND.COMを含む.COMファイルに感染する。

感染すると、このウイルスは使用可能な空きメモリに常駐するようになり、割り込み食卓内で割り込み21を真っ直ぐフックする。

いったんこのウイルスがメモリに常駐すると、.COMファイルが実行された時に、そのファイルに感染する。


,Troi対策

W32/Tarit.worm対策

10 3 月 2010 In: ウイルス

W32/Tarit.worm対策,

ウイルス情報ウイルス名リスク度W32/Tarit.worm企業ユーザ: 低
個人ユーザ: 低類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)対応定義ファイル
(現在不可欠とされるパブジョン)4267 03/05/19

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

W32/Tarit.wormはKazaaネットワークのみで繁殖するワームで、デフォルトのKazaaの共有フォルダに自身のコピーを複数作成します。この合格は、以下のようにハードコード化されています。

C:\PROGRAM FILES\KAZAA\MY SHARED FOLDER

Kazaaソフトウェアを利用しているユーザは、用心してくかっこ悪い。このワームは、以下のファイル名を使用します。

Ali G -Track13.wma.exe

Ali G Gives Respect.Xvid.AVI.mpg.exe

Ali G in the House.Divx.AVI.mpg.exe

Ali G_-_Secret Track.mp3.exe

AMD Upclocker Inst.exe

Amd VS Intel Full.exe

AMD64 Hammer Information_Setup.exe

ATB - Track07.ogg.exe

Austin Powers Gold Member.DCF32.AVI.dat.exe

Beavis %26 Butthead do America.Xvid.AVI.mpg.exe

Bedazzled.Mpeg4.AVI.mpg.exe

Black %26 White Installation.exe

Blank %26 Jones -_Track09.wma.exe

Bump 12_- Track03.ogg.exe

Bump 12_-_Secret Track.ogg.exe

Bump HardHouse 3_- Track09.wma.exe

Capella - Track03.wma.exe

Cruel Intentions 3.DCF32.AVI.avi.exe

Dance E-Jay 1_.exe

Dance E-Jay 1_Setup.exe

Dance E-Jay 3_Inst.exe

Dance E-Jay 4 Installation.exe

DareDevil.Mpeg4.VCD.avi.exe

DareDevil.Xvid.SVCD.dat.exe

Deep Purple_- Track06.mp3.exe

Dixie Chicks - Southpark mix.mp3.exe

DVD Ripper Installation.exe

DVD Ripper_Installation.exe

Ecstasy_-_Southpark mix.ogg.exe

Eminem -_Track12.mp3.exe

ESP 1_- Chipmunc mix.wma.exe

ESP 2 - Simpsons mix.mp3.exe

ESP 3 - Track03.wma.exe

Free ISP .exe

Free ISP Full.exe

Hackers II.Divx.VCD.dat.exe

Hackers II.Mpeg4.SVCD.dat.exe

Harry Potter 01.Divx.VCD.dat.exe

Harry Potter 01.Mpeg4.AVI.mpg.exe

Hits 2000 - Track04.mp3.exe

Hits 2002_-_Track04.wav.exe

Internet Overclocker_.exe

Internet Overclocker_Full.exe

Worm.CodeRed Inst.exe

JackAss - The Movie.Divx.SVCD.dat.exe

JackAss - The Movie.Mpeg4.AVI.avi.exe

Janet Jackson_-_Chipmunc mix.ogg.exe

Jay and Silent bob.DCF32.VCD.dat.exe

Jay and Silent bob.Divx.VCD.mpg.exe

Jay and Silent bob.Xvid.DVD.mpg.exe

Koleske_-_Track04.wav.exe

LameMp3 Encoder_Installation.exe

Liberty stand still.Divx.AVI.dat.exe

Lord of the Rings - Fellowship of the ring.Xvid.SVCD.dat.exe

Lord of the Rings - Two Towers.DCF32.SVCD.dat.exe

Lord of the Rings - Two Towers.Divx.DVD.mov.exe

Lovemaking_- Track06.ogg.exe

Mcafee Antivirus_Full.exe

Metal E-Jay 1_Setup.exe

Metal E-Jay 3_Installation.exe

Michael Jackson - Radio mix.wma.exe

Modem Overclocker Full.exe

Norton Antivirus 2003_Setup.exe

Paul van Dyk -_Track12.wma.exe

PC-Cillin 2003 Installation.exe

Pearl Harbor.Xvid.SVCD.avi.exe

Pearl Harbor.Xvid.SVCD.mov.exe

Playstation XP.NT.2K.9x Emulator_.exe

Queen -_Track10.wma.exe

R%26B Mix 1 - Chipmunc mix.mp3.exe

R%26B Mix 4 -_You Hate.mp3.exe

R%26B Mix 4_- Secret Track.ogg.exe

Resident Evil.DCF32.SVCD.mov.exe

Resident Evil.Divx.AVI.mov.exe

Resident Evil.Divx.DVD.dat.exe

Rollerball.Xvid.AVI.dat.exe

Rollerball.Xvid.AVI.mpg.exe

Ronan -_Track05.wma.exe

Santana_-_Radio mix.ogg.exe

Sash -_Track13.ogg.exe

Silver Metal 1 -_You Hate.ogg.exe

Tal Bachman - Track08.wma.exe

Techno E-Jay 2 .exe

Techno E-Jay 3 Full.exe

Techno E-Jay 3 Installation.exe

The Animatrix.DCF32.SVCD.dat.exe

The Animatrix.Divx.DVD.avi.exe

The Animatrix.Xvid.DVD.avi.exe

The Matrix 2.Mpeg4.DVD.mpg.exe

The New Guy.Divx.VCD.mpg.exe

The Ring.Divx.SVCD.dat.exe

Total E-Jay 1 Full.exe

TotaE-Jay 1_.exe

U2_-_Simpsons mix.ogg.exe

World of Dance 1 -_Track07.mp3.exe

World of Dance 5 - You Hate.wav.exe

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルが存在します。

感染手立て

上記のファイルのいずれかをダウンロードして実行すると、感染します。


,W32/Tarit.worm対策

W32/Wifil.worm!p2p対策

10 3 月 2010 In: ウイルス

W32/Wifil.worm!p2p対策,

ウイルス情報ウイルス名リスク度W32/Wifil.worm!p2p企業ユーザ: 低
個人ユーザ: 低類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)4454対応定義ファイル
(現在不可欠とされるパブジョン)4454 2005/03/24

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

検出範囲が拡大され、「download1111.exe」というオリジナルの名前を持ち、ファイルサイズが119603バイトある、ピアツーピアワームも検出できるようになりました。なお、ファイルは圧縮されていません。このファイルはBorland Delphi開発環境界を使用して作成されました。電坊主メールを介して自動的に広がることはありません。

W32/Wifil.worm!p2pはc:\windows\files\ディレクトリに自身をコピーしようとします。この敷地はハードコード化されており、可変ではありません。

C:\Windows\files\hotmail_hacker.exe

C:\Windows\files\hotmail_cracker.exe

C:\Windows\files\hotmail_account_sniffer.exe

C:\Windows\files\aim_hack.exe

C:\Windows\files\msn_crack.exe

C:\Windows\files\icq_hack.exe

C:\Windows\files\WarDialer.exe

C:\Windows\files\Delphi 6 - Serial Gen.exe

C:\Windows\files\WinxpHack.exe

C:\Windows\files\Delphi 7 Crack.exe

C:\Windows\files\win2k_serial_gen.exe

C:\Windows\files\yahoo_hack.exe

C:\Windows\files\ftp_crack.exe

C:\Windows\files\XP_keygen.exe

C:\Windows\files\PS2_emulator_bleem.exe

C:\Windows\files\win2k_pass_decryptor.exe

C:\Windows\files\Win2k_reboot_exploit.exe

C:\Windows\files\IIS_ShellBind.exe

C:\Windows\files\WinZip_KeyGen.exe

C:\Windows\files\Counter Strike_CD_Keygen.exe

C:\Windows\files\Delphi 2005 Keygen.exe

C:\Windows\files\Delphi 9 Keygen.exe

C:\Windows\files\Half_life Cd keygen.exe

C:\Windows\files\Hotmail Hacker.exe

C:\Windows\files\ICQ_Hackingtools.exe

C:\Windows\files\invisible_IP.exe

また、software\kazaaという名前の共有ディレクトリにも自身をコピーします。

C:\My Shared Folder\Half_life Cd keygen.exe

システム起動時に自動的に起動するよう、以下にレジストリ項目を作成します。

Software\Microsoft\Windows\CurrentVersion\Run、データ:C:\Windows\WinExec.exe

なお、試験中、W32/Wifil.worm!p2pは正常に反応せず、一般保護違反でクラッシュしました。それでもなお、他の環境界では正常に反応する割合があります。

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルおよびファイルサイズが存在します。
kazaaまたは共有ディレクトリに予期しないファイルが存在します。

感染手立て

W32/Wifil.worm!p2pはKaZaaネットワークを介して繁殖します。

駆逐手立て■現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足


,W32/Wifil.worm!p2p対策

JS/Winbomb対策

10 3 月 2010 In: ウイルス

JS/Winbomb対策,

ウイルス情報ウイルス名リスク度JS/Winbomb企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)4087対応定義ファイル
(現在不可欠とされるパブジョン)4367 00/07/01

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

このトロイの木馬は、HTML ファイルの中の WindowBomb と呼ばれる Javascript 機能で構成されています。このトロイの木馬は、数え切れないのブラウザを URL “http://www.netscape.com”、タイトルパブ “CRASHING” で隔たり、システムリソースを使い果たせようとします。

以下の症状が見られる時?このウイルスに感染している割合があります。

HTML ファイルを開くと、直ちにブラウザが起動する。


,JS/Winbomb対策

BlackEnergy対策

10 3 月 2010 In: セキュリティ情報

BlackEnergy対策,

ウイルス情報ウイルス名リスク度BlackEnergy企業ユーザ: 低
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5912対応定義ファイル
(現在不可欠とされるパブジョン)5912 2010/03/05

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

このBlackEnergyの亜類は、ペイロードを実行するさまざまなプラグインをインストールする割合のある、ルートキットによって隠されたさまざまなマルウェアコンポーネントをドロップします。

ウイルスのめりはり

このBlackEnergyの亜類は2008年にロシアとグルジアの間の争いで使われたオリジナルのBlackEnergyをすっかり書き交換したものです。

複数のドロッパを解析したところ、共通の特性がありました。

どのドロッパもディスクとメモリにBlackEnergyの一部を隠すルートキットをドロップします。また、ドロップされたルートキットはDLLをsvchost.exeに挿入します。

メインのdllはさまざまなプラグインをロードして実行します。

分析時、以下のプラグインが確認されました。

ddos - TCP、UDP、ICMP、HTTP本職トコルを無くなって、ターゲットへのDDoSトラフィックを生成するプラグイン

http - Internet Explorerを無くなってHTTPリクエストでターゲットにフラッド攻撃を仕掛けるプラグイン

syn, synflood - TCP SYNリクエストでターゲットにフラッド攻撃を仕掛けるプラグイン

ibank, ibank-inject - 感染マシンからオンラインバンキングの資格情報を泥棒出すプラグイン

kill - インストールされた固定割り知ってブにランダムなデータを上書きして感染マシンを使用不能にするプラグイン。資格情報が泥棒出された後、ユーザがオンラインバンキングにログインできなく入る割合があります。

spm_v1 - スパムを発信するプラグイン

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルおよびレジストリ値が存在します。

インターネットトラフィックが増加します。

感染手立て

トロイの木馬は自己複製しません。多くの時、その実行可能ファイルに何らかの利益があると思発言させて手動で実行させることにより繁殖します。スパムメール、IRC、P2Pネットワーク、ニュースグループへの投稿などを便秘気味て配布されます。

駆逐手立て

指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを消してくかっこ悪い。

Windows ME/XPでの駆逐についての補足


,BlackEnergy対策