新種ワーム型ウイルス「TROJ_SHOCKWAVE.A」の被害さらに拡大 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.17(火)

新種ワーム型ウイルス「TROJ_SHOCKWAVE.A」の被害さらに拡大

製品・サービス・業界動向 業界動向

 11月30日、Outlookのアドレス帳に対し自身をコピーし送信する、トロイの木馬型不正プログラム(ワーム)「TROJ_SHOCKWAVE.A」が発見された。
 このワームは、Outlookのアドレス帳の宛先全員に以下の内容のメールを送信する。

件名:"A great Shockwave flash movie"
本文:"Check out his new flash movie that I download just now...It’s Great"
添付ファイル名:creative.exe

 添付ファイルを起動すると、ワームは感染マシン上のOutlookの設定を利用し、Outlookのアドレス帳の宛先全員に、自身のコピーを添付したメールを繰り返し2回送信。このメールの送信後、アドレス" z14xym432@yahoo.com"に対して以下の内容のメールを送信する。

件名:"Job complete"
本文:"Got yet another idiot"

次にC:ドライブのルートディレクトリとWindowsのスタートアップフォルダに自身のコピーを作成。ただし、日本語環境ではパスの相違からWindowsのスタートアップフォルダにはコピーは作成されない。
 また、以下の文字列を含む"messageforu.txt"というファイルも作成する。

"Hi, guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enough just reverse back the process. i could have done far better damage, i could have even completely wiped your harddisk. Remember this is a warning & get it sound and clear... - The Penguin"

 次にワームが起動されたカレントドライブ内の.JPG、.ZIPファイルを検索、検索されたファイルをすべてc:ドライブのルートディレクトリに移動する。この移動の際、移動されたすべてのファイルのファイル名の最後に"change atleast now to LINUX"と言う文字列を追加しリネームする。

 例:"XXX.ZIP"→"XXX.ZIPchange atleast now to LINUX"

 ワームはこのファイル移動の記録を前述の"messageforu.txt"に書き込み、c:ドライブのルートディレクトリに移動したすべてのファイルについての移動前のフルパスが記録される。


▼トレンドマイクロ対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 トレンドマイクロ株式会社は12月1日未明に海外より、ワームに分類されるトロイの木馬型不正プログラム「TROJ_SHOCKWAVE.A」の感染報告を受け、同ウイルスに対する警告を発令した。
 同ウイルスの活動としてはファイルを実行すると、Microsoft Outlookの全てのメールアドレスにワームプログラム自身を添付して自動送信。C:ドライブのルートディレクトリとWindowsのスタートアップフォルダに自身のコピーを作成。ローカルドライブ内の.JPG、.ZIPファイルを検索し、検索されたファイルをすべてC:ドライブのルートディレクトリに移動する。
 この活動によりルートディレクトリに多量の.JPG、.ZIPファイルが移動されるとドライブの動作に不具合が発生する。同社ではパターンファイル811以降(812以降推奨)で対応。検索エンジン5.170以上で対応するとのこと。

ウイルス情報
http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_SHOCKWAVE.A
パターンファイルダウンロードサイト
http://www.trendmicro.co.jp/support/pattern/index.htm


▼エフ・セキュア対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.f-secure.com/v-descs/creative.htm(英文)


▼日本ネットワークアソシエイツ対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 日本ネットワークアソシエイツ株式会社は11月30日、インターネットワーム「W32/ProLin@MM」を米国で発見、対応状況を発表した。
 このインターネットワームは、ローカルシステムへ自分自身を書き込み、.JPGと.ZIPファイルをローカルマシン上から検索、検出されたファイルをCドライブのルートに移動させるというもの。また「CREATIVE.EXE」ファイルを添付したMAPIメールの配信を行う。同社では、4.0.70エンジンを使用するVirusScan、WebShield、GroupShield、NetShieldとDAT 4109で対応している。


ウイルス情報
http://www.nai.com/japan/virusinfo/virPQ.asp?v=W32/ProLin@MM&a=PQ
DATファイルダウンロードサイト
http://www.nai.com/japan/download/dat4.asp#zip


▼シマンテック対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 シマンテック株式会社は11月30日、Microsoft Outlookのアドレス帳に登録されているすべてのメールアドレスに対し、自分自身を送りつけるワーム「W32.Prolin.Worm」を発見、対応状況を発表した。
 このワームは、Outlookのアドレス帳に登録されているすべてのメールアドレスに対し「CREATIVE.EXE」ファイルを添付したメールを送信する。添付ファイルを実行するとC:WINDOWSStart MenuProgramsStartupに自分自身をコピーし、起動するたびに拡張子が.zipと.jpgのファイルをCドライブのルーディレクトリに移動するというもので、同社では警告を呼びかけている。

ウイルス情報
http://www.symantec.com/region/jp/sarcj/data/w/w32.prolin.worm.html
ウイルス定義ファイルのダウンロードサイト
http://www.symantec.com/region/jp/sarcj/download.html


▼シー・エス・イー対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 株式会社シー・エス・イーは、Microsoft Outlookを利用して拡大するワーム「W32/Prolin」を発見、対応状況を発表した。
 このワームは、"A great Shockwave flash movie"という件名のE-mailで届き、添付してある「CREATIVE.EXE」を実行すると、自身を添付してOutlookアドレス帳の全登録者に向けてE-mailを送信する。その後、ワームは拡張子がMP3、JPG、ZIPのファイルを探し、それらのファイルをC:に移動さる。同社では対応するIDEファイルがWebサイトで公開されており、ダウンロードが可能となっている。

ウイルス情報
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/w32prolin.htm
ファイルダウンロードサイト
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/w32prolin.htm
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  6. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  7. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  8. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  9. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  10. マルウェア侵入の検知を高精度化するAI技術を開発、侵入前後の違いを検知(富士通研究所)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×