Leeワームの新亜種が発見される

◆概要：
　大量メール送信型ワームLeeの新亜種「Lee.D」が発見された。Lee.Dは、マイクロソフト社のInternet Explorerのスタートアップページを成人向けウェブサイトに変更する。

国際海外情報

2002年4月5日（金） 12時00分

◆概要：
　大量メール送信型ワームLeeの新亜種「Lee.D」が発見された。Lee.Dは、マイクロソフト社のInternet Explorerのスタートアップページを成人向けウェブサイトに変更する。

　Lee.Dが送信する電子メールは日本語テキストを含み、次のような特徴で表示される。

件名：
konnichiwa （こんにちは）

本文：
konnichiwakono syashin mite ne!!!!!!（こんにちはこの写真見てね）

添付ファイル：
SYASHIN2.JPG.VBS (3,106 bytes)

　感染ファイルが実行されると、Lee.Dは自身をSYASHIN2.JPG.VBSとしてWindowsディレクトリーにコピーする。次にこのワームは、マイクロソフト社のOutlookのアドレス帳に格納されるすべてのアドレスに対して大量メール送信ルーチンを実行する。またLee.Dはインターネットリメ[チャット(IRC)を介しての増殖を試み、この場合、mIRCが存在するコンピューターを使用する他のIRCユーザーにファイルを転送する方法がとられる。
　Lee.Dは、Script.iniファイルを、mIRCの実行時にワームをメモリーで実行する悪意のあるScript.iniファイルで上書きすることで増殖を行う。

　Lee.Dは、Windowsリジストリーの以下の場所に変更を加える。

HKLMSoftwareMicrosoftWindowsCurrentVersionProgramFilesDir

　そして最終的に、Internet Explorerスタートアップページが
http://it.geocities.com/windows2it/index.htm に変更される。このサイトには大人向けのコンテンツが含まれるほか、類似のコンテンツへのリンクでコンピューターを絶えずアップデートするActive-Xコントロールが含まれる。

◆別名：
VBS/Anjulie.gen@MM, I-Worm.Lee-Based, Bloodhound.VBS.Worm, Anjulie, Lee,Lee.D, VBS_LEE.D, IRC_LEE.D

◆情報ソース：
・ Trend Micro Inc.
(http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_LEE.D),March 25, 2002・ iDEFENSE Intelligence Operations, March 26, 2002

◆分析：
　(iDEFENSE 米国) 現在Leeの複数の亜種が拡散していることが確認されており、ソースコードも容易にアンダーグランドから入手可能(ID# 105868, Oct. 15, 2001)。Lee.Dは、成人向けコンテンツを利用する悪意のあるコードと同種になる。

◆検知方法：
　電子メール、Windowsディレクトリー内のSYASHIN2.JPG.VBSファイル、そしてこのワームが作成したWindowsリジストリーキーの存在を確認する。

◆リカバリー方法：
　Lee.Dに関連するすべてのファイルおよびWindowsリジストリーキーを削除し、壊れたまたは破損したファイルを感染されていないバックアップコピーから復元する。
　Internet Explorerのホームページ設定を元の構成に戻す。

◆暫定処置：
　この悪意のあるコードが他のコンピューターに拡散させ、頻繁に使用するためにファイルの種類をブロックするように電子メールサーバーとワークステーションを構成する。新しいファイルを使用する前に、アップデートされたアンチウイルスソフトウェアで経験則を用いて走査ｂ驍ネど、すべての新しいファイルを注意深く管理する。

　Visual Basicスクリプトファイルをスクリプトエディターに関連づけるか、関連づけを完全に削除することで自動実行を回避する。通常の稼動にWindowsスクリプティングホスト(WSH)を必要としないコンピューターからWSHを削除する。以下の手順に従って、マイクロソフト社のオyレーティングシステム上でのVBSファイル実行を停止する。

Windows 95とWindows NTでは、VBSファイルの関連づけを削除する：

1. [マイコンピュータ]で、[表示]をクリックしてドロップダウンメニューから[オプション]または[フォルダオプション]を選択する。
2. [ファイルタイプ]タブで、[VBScripスクリプトファイル]のエントリを選択して削除する。
3. 確認を促されたら[はい]をクリックする。

Windows 98では、WSHを削除する：

1. [スタート]メニューから、[設定]を選択し、[コントロールパネル]をクリックする。
2. [アプリケーションの追加と削除]を選択する。
3. [Windowsファイル]タブで、[アクセサリ]を選択する。
4. [アクセサリ]のウィンドウで[Windowsスクリプティングホスト]オプションをオフにする。
5. [OK]をクリックして、[Windowsスクリプティングホスト]を無効にする。6. [適用]をクリックする。

Windows 2000では、VBSファイルの関連づけを削除する：

1. [マイコンピュータ]で、[ツール]をクリックして[フォルダオプション]を選択する。
4. [ファイルの種類]タブで、[VBScriptスクリプトファイル]を選択する。
3. [削除]をクリックする。
5. 確認を促されたら[はい]をクリックする。

ベンダー情報：
　トレンドマイクロ社のアンチウイルスソフトウェアが、現在この新しい悪意あるコードに対応可能。その他のアンチウイルスソフトウェアも、経験則を用いてこの悪意あるコードを検知できる場合がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　情報の内容は以下の時点におけるものです。
　【21:47 GMT、03、26、2002】
　アイディフェンス社の iAlert サービスは下記のURLより
　お申込みいただけます。
http://shop.vagabond.co.jp/p-alt01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

Leeワームの新亜種が発見される

Scan PREMIUM 会員限定記事

役に立たないメール訓練もうやめません？ by Googleセキュリティ担当者

北の IT 技術者に懸賞金かかる／産経報道に世界注目／イラン情報安全保障省イスラエル攻撃ほか [Scan PREMIUM Monthly Executive Summary 2024年5月度]

失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

FileCatalyst Workflow における任意のコード実行につながるパストラバーサルの脆弱性（Scan Tech Report）

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

役に立たないメール訓練 もうやめません？ by Googleセキュリティ担当者

北の IT 技術者に懸賞金かかる／産経報道に世界注目／イラン情報安全保障省 イスラエル攻撃 ほか [Scan PREMIUM Monthly Executive Summary 2024年5月度]

失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

FileCatalyst Workflow における任意のコード実行につながるパストラバーサルの脆弱性（Scan Tech Report）

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

マイクロソフトが 6 月のセキュリティ情報公開、適用を呼びかけ

IPCOM の WAF 機能にサービス運用妨害（DoS）の脆弱性

北の IT 技術者に懸賞金かかる／産経報道に世界注目／イラン情報安全保障省 イスラエル攻撃 ほか [Scan PREMIUM Monthly Executive Summary 2024年5月度]

スマートフォンアプリ「FreeFrom - the nostr client」に複数の脆弱性

WordPress 用プラグイン Music Store - WordPress eCommerce に SQL インジェクションの脆弱性

UNIVERSAL PASSPORT RX に複数の脆弱性

インシデント・事故 記事一覧へ

日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

海外サイトに顧客情報が掲載 ～「転職支援サイト」 に不正アクセス

KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

最高裁判所 メール誤送信

調査・レポート・白書・ガイドライン 記事一覧へ

IPA、中小企業向けの内部不正防止対策の報告書公開

2023年届出件数 過去最高 100万件超え「フィッシングレポート 2024」公開

デジタル庁「テキスト生成 AI 利活用におけるリスクへの対策ガイドブック（α版）」公開

IPA「米国における AI のセキュリティ脅威・リスクの認知調査レポート」公開

Linux Foundation、メンテナーに注目し OSS のセキュリティを考える調査レポート公開

過去 3 年間で大企業の約 3 分の 1 がサイバー攻撃被害に

研修・セミナー・カンファレンス 記事一覧へ

GMOイエラエ 市川遼氏「Interop Tokyo 2024」講演、サイバー攻撃で狙われやすい企業の特徴

消防庁、市区長対象の「全国防災・危機管理トップセミナー」開催

講師 篠田佳奈氏 ～ IISEC 20周年記念リレー講座、若者のセキュリティ人材育成 日英比較

IPA、2024年度第2回「業界別サイバーレジリエンス強化演習（CyberREX）」を9月5～6日開催

総務省「クラウドの設定ミス対策ガイドブック」を 20 分で理解するセミナー開催 ～ セコムトラストシステムズ 6 / 26,27

総務省 SBOM 対応ノスゝメ

製品・サービス・業界動向 記事一覧へ

GMOイエラエ、NICT委託研究で2年連続S評価

セキュリティ製品と企業を選ぶ「機能以外の」要件 ～ ラピッドセブン・ジャパン 日本法人設立 10 周年記念 公開インタビュー

AeyeScan を基盤とした「診断マネジメント」提供、診断プロセスを可視化

緊急度の高いセキュリティ情報をメール連絡「S4 アラート」提供

医療機関における情報セキュリティ強化等の三者協定締結 ～ SAJ 、大阪急性期・総合医療センター、日本マイクロソフト

ライフサイクル通じ IoT デバイス保護「DigiCert Device Trust Manager」

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

役に立たないメール訓練もうやめません？ by Googleセキュリティ担当者

北の IT 技術者に懸賞金かかる／産経報道に世界注目／イラン情報安全保障省イスラエル攻撃ほか [Scan PREMIUM Monthly Executive Summary 2024年5月度]

脆弱性と脅威記事一覧へ

北の IT 技術者に懸賞金かかる／産経報道に世界注目／イラン情報安全保障省イスラエル攻撃ほか [Scan PREMIUM Monthly Executive Summary 2024年5月度]

インシデント・事故記事一覧へ

海外サイトに顧客情報が掲載～「転職支援サイト」に不正アクセス

最高裁判所メール誤送信

調査・レポート・白書・ガイドライン記事一覧へ

2023年届出件数過去最高 100万件超え「フィッシングレポート 2024」公開

研修・セミナー・カンファレンス記事一覧へ

GMOイエラエ市川遼氏「Interop Tokyo 2024」講演、サイバー攻撃で狙われやすい企業の特徴

講師篠田佳奈氏～ IISEC 20周年記念リレー講座、若者のセキュリティ人材育成日英比較

総務省「クラウドの設定ミス対策ガイドブック」を 20 分で理解するセミナー開催～セコムトラストシステムズ 6 / 26,27

製品・サービス・業界動向記事一覧へ

セキュリティ製品と企業を選ぶ「機能以外の」要件～ラピッドセブン・ジャパン日本法人設立 10 周年記念公開インタビュー

医療機関における情報セキュリティ強化等の三者協定締結～ SAJ 、大阪急性期・総合医療センター、日本マイクロソフト

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ