メイン

ウイルス関連 :: Logbook :: Pocketstudio.jp

ウイルス関連 アーカイブ

ウイルス関連 】 2007年01月21日 07:38

 昨晩(1/20)から中国による人工衛星破壊実験成功ニュースの影響をうけてか、それに関連するウイルスが出回っているようです。私の所には現在9通のメールが届いています。題名と時刻は次の通り。

Chinese missile shot down Russian aircraft - Sat, 20 Jan 2007 07:45:29 +0900
Chinese missile shot down Russian satellite - Sat, 13 Jan 2007 12:23:57 +0900
Chinese missile shot down USA aircraft - Sat, 20 Jan 2007 21:58:13 +0100
Chinese missile shot down USA aircraft - Sat, 20 Jan 2007 15:29:59 -0600

Russian missle shot down Chinese aircraft - Sat, 20 Jan 2007 22:08:22 +0900
Russian missle shot down Chinese satellite - Sun, 21 Jan 2007 04:47:35 +0900
Russian missle shot down USA aircraft - Sat, 20 Jan 2007 22:56:24 +0300
Russian missle shot down USA aircraft - Sun, 21 Jan 2007 04:47:35 +0900
Russian missle shot down USA satellite - Sat, 20 Jan 2007 08:48:05 +0900

 本文は何もなく、添付ファイル 『Click Here.exe』 『Full Story.exe』 『Full News.exe』 『Read More.exe』 『Video.exe』 という実行可能なものが付属しています。おそらくウイルスと思われますので、実行しないように注意が必要だと思います。

 特徴として、メールのヘッダが変です。本来、メーラーの情報は『 X-Mailer: 』ですが、なぜかこのウイルス(とおぼしきメール)では全て『User-Agent: Thunderbird 1.5.0.9 (Windows/20061207)』となっています。

 今のところ、シマンテック(本社,日本)、トレンドマイクロ(本社,日本)とも情報はありません。ClamAV は一部検出してウイルス Trojan.Downloader-648 と判定を出しています。トロイの木馬型ですか。タイムゾーンに +0900 の人が多いので、日本国内の感染が急速に広まっているのかもしれません。とにかく怪しい実行ファイルは実行しないようにして、あとは情報が出るのをまつしかないですね。。

 今のところ、1/19 日に発見された『 Trojan.Peacomm 』の亜種の可能性が高そうです(添付ファイルですとか)。こちらの場合だとシマンテック本社の情報(*1)によると、仮に亜種だとして

- 全ての Windows が影響を受ける
- wincom32.sys をシステムディレクトリ(XP だと C:\Windows\system32\)に送り込み、デバイスとして認識させる(ここ会っているかな?)
- レジストリにサービスとして追記される HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
- デバイス経由で services.exe をダウンロードさせる
- システムディレクトリに peers.ini を置く
- UDP ポート 4000 を開き、外部から接続可能な状態にさせる
- 通信は暗号化されている
- UDP ポート 4000 をスキャンして、互いに情報をあつめていく
- いずれ何処かを一斉に Dos 攻撃するかもしれない
・・・といった所のようです。

 Trojan.Peacomm はトロイの木馬をダウンロードさせるサーバが特定されており、既に無効化されています。その対抗策として、新種のウイルスを出してきたのかもしれませんね。しかも興味の引きそうなタイトルで。

 中国とロシアが攻撃したという題名はあっても、アメリカが攻撃しないという題名が無いのは、作っているのがアメリカ人だからですかね。それとも偽装?

 うーん、なんとなく実行してみたいですが、実行しちゃだめですよね・・・。



参考文献:

*1 Trojan.Peacomm - Symantec.com

ウイルス関連 】 2007年01月24日 05:05

 先日の記事『 中国の人工衛星撃破ニュース関連ウイルス登場? missile shot down 』で取り上げたウイルス『 Trojan.Peacomm 』について。昨日になってようやく各有名ウイルスメーカーが対応に追いついたようですね。駆除情報など日本語で確認できるようになりました。

 Trojan.Peacomm はシマンテックの名前で、トレンドマイクロは TROJ_SMALL.EDW、F-Secure は Small.DAM、マカフィーは Download-BAI、SOPHOS では Troj/Dorf-Fam と命名されています。

- シマンテック(ノートン):Trojan.Peacomm
- トレンドマイクロ(ウイルスバスター):TROJ_SMALL.EDW
- F-Secure: Small.DAM
- マカフィー:Downloader-BAI!M711
- SOPHOS:Troj/Dorf-Fam


 とにかく、怪しいメールの怪しいファイルの起動は「ダメ、絶対」ですね。

 シマンテックの情報によると、被害状況は『 高 』となっています。最近としては珍しく広がったウイルスになったのではないでしょうか。危険度も「1」から「3」に引き上げられてます。

 シマンテックの脅威インフォメーションセンター"増加しているスパム:Storm Troyan"によると、「最初の兆候は 2007 年 1 月 17 日に発見しました」とあります。ですけど、中国の衛星破壊実験が行われたのは 1 月 19 日で、それに関連するタイトル“Chinese missile shot down Russian satellite ”というのは後から出てきたもののはずです。ということは、機能的には同じだけどもタイトルが違うだけだから、亜種とは認められないという事なんですかね・・・トレンドマイクロでは亜種のパターンを公開していました。

 添付ファイル名の種類も増えてるようです。いかにもクリックしたくなりそうな感じですからね。しかも本文が空白ですから。。私は Outlook を使っていないのですけど、もし拡張子が表示されない設定でしたら、このような .exe は表示されないのでしょうか? だから感染が広がったのかな。

* FullVideo.exe
* Full Story.exe
* Video.exe
* Read More.exe
* FullClip.exe
* GreetingPostcard.exe
* MoreHere.exe
* FlashPostcard.exe
* GreetingCard.exe
* ClickHere.exe
* ReadMore.exe
* FlashPostcard.exe
* FullNews.exe

『この脅威は性質を次々に変えていることから、上記以外のメール件名や添付ファイル名が使用される可能性があります。そのため、この種の電子メールが届いても、開かないようにしてください。』

 との事ですので、一応、今後も動向は要注意のようです。

About ウイルス関連

ブログ「Pocketstudio'z log」のカテゴリ「ウイルス関連」に投稿されたすべてのエントリーのアーカイブのページです。過去のものから新しいものへ順番に並んでいます。

他にも多くのエントリーがあります。メインページアーカイブページも見てください。

カテゴリー