昨晩(1/20)から中国による人工衛星破壊実験成功ニュースの影響をうけてか、それに関連するウイルスが出回っているようです。私の所には現在9通のメールが届いています。題名と時刻は次の通り。
Chinese missile shot down Russian aircraft - Sat, 20 Jan 2007 07:45:29 +0900
Chinese missile shot down Russian satellite - Sat, 13 Jan 2007 12:23:57 +0900
Chinese missile shot down USA aircraft - Sat, 20 Jan 2007 21:58:13 +0100
Chinese missile shot down USA aircraft - Sat, 20 Jan 2007 15:29:59 -0600
Russian missle shot down Chinese aircraft - Sat, 20 Jan 2007 22:08:22 +0900
Russian missle shot down Chinese satellite - Sun, 21 Jan 2007 04:47:35 +0900
Russian missle shot down USA aircraft - Sat, 20 Jan 2007 22:56:24 +0300
Russian missle shot down USA aircraft - Sun, 21 Jan 2007 04:47:35 +0900
Russian missle shot down USA satellite - Sat, 20 Jan 2007 08:48:05 +0900
本文は何もなく、添付ファイル 『Click Here.exe』 『Full Story.exe』 『Full News.exe』 『Read More.exe』 『Video.exe』 という実行可能なものが付属しています。おそらくウイルスと思われますので、実行しないように注意が必要だと思います。
特徴として、メールのヘッダが変です。本来、メーラーの情報は『 X-Mailer: 』ですが、なぜかこのウイルス(とおぼしきメール)では全て『User-Agent: Thunderbird 1.5.0.9 (Windows/20061207)』となっています。
今のところ、シマンテック(本社,日本)、トレンドマイクロ(本社,日本)とも情報はありません。ClamAV は一部検出してウイルス Trojan.Downloader-648 と判定を出しています。トロイの木馬型ですか。タイムゾーンに +0900 の人が多いので、日本国内の感染が急速に広まっているのかもしれません。とにかく怪しい実行ファイルは実行しないようにして、あとは情報が出るのをまつしかないですね。。
今のところ、1/19 日に発見された『 Trojan.Peacomm 』の亜種の可能性が高そうです(添付ファイルですとか)。こちらの場合だとシマンテック本社の情報(*1)によると、仮に亜種だとして
- 全ての Windows が影響を受ける
- wincom32.sys をシステムディレクトリ(XP だと C:\Windows\system32\)に送り込み、デバイスとして認識させる(ここ会っているかな?)
- レジストリにサービスとして追記される HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
- デバイス経由で services.exe をダウンロードさせる
- システムディレクトリに peers.ini を置く
- UDP ポート 4000 を開き、外部から接続可能な状態にさせる
- 通信は暗号化されている
- UDP ポート 4000 をスキャンして、互いに情報をあつめていく
- いずれ何処かを一斉に Dos 攻撃するかもしれない
・・・といった所のようです。
Trojan.Peacomm はトロイの木馬をダウンロードさせるサーバが特定されており、既に無効化されています。その対抗策として、新種のウイルスを出してきたのかもしれませんね。しかも興味の引きそうなタイトルで。
中国とロシアが攻撃したという題名はあっても、アメリカが攻撃しないという題名が無いのは、作っているのがアメリカ人だからですかね。それとも偽装?
うーん、なんとなく実行してみたいですが、実行しちゃだめですよね・・・。
参考文献:
*1 Trojan.Peacomm - Symantec.com
| 固定リンク 
コメント (6)
こんにちは。
今回私のブログでTrojan.Peacommのことについて
記事として取り扱ったもので、
その際Trojan.Peacommについて調べている中で
Pocketstudio'z logさんの方で大変詳しくかかれていたのでトラックバックさせていただきました。
トラックバックについて不快に思うようなら
ご一報いただければ即対応させていただきますので、
その際はご一報よろしくお願いします。
投稿者: Ro_yuiyui | 2007年01月23日 03:22
日時: 2007年01月23日 03:22
Ro_yoiyui さん、おはようございます。
トラックバック大歓迎です!(SPAM 対策の為、申し訳ありませんが特定基準にかかると私の事前確認が必要となってしまいます。今し方反映させましたのでご確認ください)
なるほど、参考になりました。私は最近 PC ゲームをすることは殆ど無くなっていたのですが、調べてみると、、色々あるようですね。
今回、タイトルが「英語であからさまに怪しい迷惑迷惑メール」っぽかったですけど、タイトルが日本語でそれらしいメールだったら、うっかり開いてしまうかもしれませんし、要注意ですね。。
投稿者: 前佛 雅人![[TypeKey Profile Page]](http://pocketstudio.jp/log2/nav-commenters.gif)
|
2007年01月23日 03:58
日時: 2007年01月23日 03:58
その後調べてみると、このウイルスは『 Trojan.Peacomm 』のようです。休日を挟んだせいか、情報の確認・提供が遅れていたのかもしれませんね。1/22(GMT)付け(日本では昨晩)で情報が更新されていました。日本語のシマンテック社サイトは更新されていませんが、アメリカの本社では珍しい危険度レベル3になっていました。
あと、トレンドマイクロでは『 TROJ_SMALL.EDW 』と名前が付けられているようです。
ウイルス対策ソフトといえば、一太郎 2007 の DM に30 日の無料体験版『カペルスキー』が入っていたのを思い出しました。何でも元 KGB の人が作ったから凄いんだという事で・・・。導入を検討しようかな。丁度ノートン 2006 が、あと4日で期限切れになるので・・・。
投稿者: 前佛 雅人 | 2007年01月23日 04:15
日時: 2007年01月23日 04:15
ご返信ありがとうございます。
私もノートン2006が切れて、ショップに足を運んだときに「元 KGB の人が作ったから凄いんだという事で・・・」というような感じで目をひいちゃいました(^^
手にとって見てみると、商品の裏にウィルス検出率世界水準や新種ウィルス対応世界最速というのも見てためしに買ってみようとデスクで使うことにしました。
使い心地ですが、ノートン2006に比べ比較的軽いソフトで、ウィルススキャンも体感でノートンよりも早いな感じますね。
ウィルス対応についてはノートンとそこまで大差ないと思います。
※先ほどsymantec確認しましたら日本の方でも最新の脅威にTrojan.Peacommあがってました。これで少しは安心です。
投稿者: Ro_yuiyui | 2007年01月24日 01:52
日時: 2007年01月24日 01:52
そうですね『 KGB が~ 』という件には惹かれます(^^;
スキャン速度など軽いのですか、参考になります。
手元に体験版があるので、試してみようかな。。
どうも情報ありがとうございました!
投稿者: 前佛 雅人![[TypeKey Profile Page]](http://pocketstudio.jp/log2/nav-commenters.gif)
|
2007年01月24日 03:29
日時: 2007年01月24日 03:29
数字は認識マイケル·ジョーダンのジャージの量にしています。 これらはあなたが容易に異議に対して自分自身を守るために役立つかもしれない高性能シューズですのでしばしばデザイナーブランドを手に入れるようにしてください。 彼らはファッションを愛しているけれど イルpeut TRE considrコムデギャルソン国連リメイクデュスタイルcompltement diffrentプーマ、toutefois、ル·パニエSES mrites individuelsデqueのルprserver proximitデラ情報なしドゥレアマチュアデスニーカーを注いで持っている必要があります。 ルnettoyage、aperuデベースクワイ=レ垂れ幕ESTフォトケース·デ·プラスエンプラスsoutenue額面ラポールAUXアンズ、MME SI DANSレmatriaux耐久VERS reconnaissablesプーマBANDEル長いデラCTE atterri見るdans。 ル·パニエESTデプラスノコギリヤシルイfournirデNOUVEAUXモード·ド·ヴィーainsi queのD'UN dernierアペル、玉蜀黍L'オリジナル、シルエットトラディショナルreste TRE exactement L'かたは - 麗宇根受胎n'estクワイ=パ·ド·方向s'estomper 。エレガント彼らは彼女が元暁ミッシーを見ていないことを求めるのだろうかではないことをその日の最後の1このひよこを見なかっただろう 長いプロット。 彼女は単にそこからFurenコメントを追加しました抗菌ソックライナーと同様にクッション性から健康を維持します。
自然で効率的な歩行はアシックスゲルエボリューション6ランニングシューズとオーバーpronatorsに手を伸ばし パワードレッサーからクロスドレッサーと-listが有名人に隣の女の子にトップスターからフェチまでどうり誰もが経験しておらず、単に小剣の靴の神秘的な色気を愛している私にとって最高のバスケットボールシューズを探しています。 とりわけ地元のディーラーの積極的なコミュニケーションとパートナーシップを構築します。 良いパートナーシップはナイキはすでに快適スケーターの心に設立された他のブランドと競争するために 使用される3つの靴はエアマックス90、ナイキエアシューズ、エアマックス97だったあまり役に立たなかったようだ。 その質問は彼女を当惑させるように見えたので言語の内部の兆候を発見することであり輝いているヒット赤面ボンド技術とタッセル奇妙なサンダルを飾る
投稿者: Pharseces | 2013年08月08日 18:48
日時: 2013年08月08日 18:48