Vote.Aワームは、ファイルを削除し、トロイの木馬をダウンロードし、ハードディスクのフォーマット | ScanNetSecurity
2024.03.29(金)

Vote.Aワームは、ファイルを削除し、トロイの木馬をダウンロードし、ハードディスクのフォーマット

概要:
 Vote.Aワームは、電子メールを媒体にして繁殖して、感染するとアンチウイルスソフトの一部をデリートし、トロイの木馬をダウンロードし、ユーザのハードディスクを再フォーマットする。Vote.Aは、電子メールにexe.ファイルとして添付され、プログラムの長さは5

脆弱性と脅威 脅威動向
概要:
 Vote.Aワームは、電子メールを媒体にして繁殖して、感染するとアンチウイルスソフトの一部をデリートし、トロイの木馬をダウンロードし、ユーザのハードディスクを再フォーマットする。Vote.Aは、電子メールにexe.ファイルとして添付され、プログラムの長さは55,808バイトである。下記が受信時のメッセージ;

 添付ファイルを開けてしまうとマイクロソフト社アウトルックの住所録にあるアドレスに転送され繁殖する仕組みなっている。次のこのウイルスVote.Aは、サイトパスワードを盗むトロイの木馬(TimeUpdate.exe)を us.f1.yahoofs.com からダウンロードし、実行しようとする。ほとんどの主なアンチウイルスソフトはTrojan.Barrioとして検知し警報する。 その後、デフォルトでのインストール中に新たに作成されるフォルダーのユーティリィティ(例:C:Program FilesMcAfeeVirusScan95)の内容を削除に取り掛かる。次にワームは、<Windows folder>aCker.vbs 及び<Windows System folder>MixDaLaL.vbsの二つのファイルを保存する。 更にVote.Aは、コマンドファイルC:¥Autoexec.batの新規作成か、上書きを行い、バッチファイル内にあるecho Y | format C がウインドウズ(95/98/Me及びDOS)の起動時に作動してハードディスクのフォーマットを試みる。

 MixDaLaL.vbsはビジュアル・ベーシック・スクリプト・ファイルでワームによって実行され、コンピュータ内とネットワークドライブの全てのフォルダをスキャンし、HTMLファイルを探す。HTMLファイルを見つけると次のようなメッセージに書き換える;

 ZaCker.vbsもやはりビジュアル・ベーシック・スクリプト・ファイルでコンピュータ起動時に実行されるようにプログラムされている。実行されるとフォルダ内のデータを消去し次のようなメッセージを表示する;


別名: W32.Vote.A@mm

情報ソース:
Trend Micro Inc.
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_VOTE.A
Symantec Corp
http://www.symantec.com/avcenter/venc/data/w32.vote.a@mm.html
Network Associates Inc./McAfee.com
http://vil.nai.com/villib/dispvirus.asp?virus_k=99212
Sept. 24, 2001

分析:
 上記に記載されたメールを受け取った場合はファイルを開けずに即座に削除した上でシステム管理者やヘルプデスクなどに連絡するよう指示をしておく事が重要。このウイルスは破壊力が強く、何回もファイルの書き換え、消去を試みるので注意が必要である。また、転送機能を使って送信も試みるのでネットワークトラフィックが増し、メール送受信に支障をきたす恐れがある。

検知方法:
 ZaCker.vbsかMixDaLaL.vbsの存在はウイルス感染の症候。 また、us.f1.yahoofs.comへアクセスした場合も感染を判断する手掛かりになる。

リカバリー方法:
 最新版のアンチウイルスソフトを導入すればVote.Aワームは検知・削除される。手動で対処する場合はZaCker.vbs及びMixDaLaL.vbsを検索し削除すれば手動でも復旧できる。

暫定処置:
 システム管理者は、ファイアウォールとルーターの設定にWTC.exeをフィルターするようにすればメールからの感染は防げる。また、レジストリエディター(Regedit)内にある次のキーを取り除く事;

HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun
Norton.Thar WindowsSystemaCker.vbs

 C:Autoexec.bat内にあるecho Y | format C:を削除する為にはテキストエディターを使用する。書き換えられたHTMLは全て削除して(殆どのHTMLは書き換えられている可能性が高い、ファイルのサイズは1Kb前後)バックアップからの削除されたファイルや壊れたファイルのリカバリーを行う。

ベンダー情報:
 殆どの会社から出ている最新のアンチウイルスソフトは、Vote.Aワーム及びBarrio Trojan Horseを検知する。

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【1:46 GMT、9月 25、2001】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×