中国の人工衛星撃破ニュース関連ウイルス登場? missile shot down
昨晩(1/20)から中国による人工衛星破壊実験成功ニュースの影響をうけてか、それに関連するウイルスが出回っているようです。私の所には現在9通のメールが届いています。題名と時刻は次の通り。
Chinese missile shot down Russian aircraft - Sat, 20 Jan 2007 07:45:29 +0900
Chinese missile shot down Russian satellite - Sat, 13 Jan 2007 12:23:57 +0900
Chinese missile shot down USA aircraft - Sat, 20 Jan 2007 21:58:13 +0100
Chinese missile shot down USA aircraft - Sat, 20 Jan 2007 15:29:59 -0600
Russian missle shot down Chinese aircraft - Sat, 20 Jan 2007 22:08:22 +0900
Russian missle shot down Chinese satellite - Sun, 21 Jan 2007 04:47:35 +0900
Russian missle shot down USA aircraft - Sat, 20 Jan 2007 22:56:24 +0300
Russian missle shot down USA aircraft - Sun, 21 Jan 2007 04:47:35 +0900
Russian missle shot down USA satellite - Sat, 20 Jan 2007 08:48:05 +0900
本文は何もなく、添付ファイル 『Click Here.exe』 『Full Story.exe』 『Full News.exe』 『Read More.exe』 『Video.exe』 という実行可能なものが付属しています。おそらくウイルスと思われますので、実行しないように注意が必要だと思います。
特徴として、メールのヘッダが変です。本来、メーラーの情報は『 X-Mailer: 』ですが、なぜかこのウイルス(とおぼしきメール)では全て『User-Agent: Thunderbird 1.5.0.9 (Windows/20061207)』となっています。
今のところ、シマンテック(本社,日本)、トレンドマイクロ(本社,日本)とも情報はありません。ClamAV は一部検出してウイルス Trojan.Downloader-648 と判定を出しています。トロイの木馬型ですか。タイムゾーンに +0900 の人が多いので、日本国内の感染が急速に広まっているのかもしれません。とにかく怪しい実行ファイルは実行しないようにして、あとは情報が出るのをまつしかないですね。。
今のところ、1/19 日に発見された『 Trojan.Peacomm 』の亜種の可能性が高そうです(添付ファイルですとか)。こちらの場合だとシマンテック本社の情報(*1)によると、仮に亜種だとして
- 全ての Windows が影響を受ける
- wincom32.sys をシステムディレクトリ(XP だと C:\Windows\system32\)に送り込み、デバイスとして認識させる(ここ会っているかな?)
- レジストリにサービスとして追記される HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
- デバイス経由で services.exe をダウンロードさせる
- システムディレクトリに peers.ini を置く
- UDP ポート 4000 を開き、外部から接続可能な状態にさせる
- 通信は暗号化されている
- UDP ポート 4000 をスキャンして、互いに情報をあつめていく
- いずれ何処かを一斉に Dos 攻撃するかもしれない
・・・といった所のようです。
Trojan.Peacomm はトロイの木馬をダウンロードさせるサーバが特定されており、既に無効化されています。その対抗策として、新種のウイルスを出してきたのかもしれませんね。しかも興味の引きそうなタイトルで。
中国とロシアが攻撃したという題名はあっても、アメリカが攻撃しないという題名が無いのは、作っているのがアメリカ人だからですかね。それとも偽装?
うーん、なんとなく実行してみたいですが、実行しちゃだめですよね・・・。
参考文献:
*1 Trojan.Peacomm - Symantec.com
| 固定リンク 
