Alizワームが急速に拡散中 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

Alizワームが急速に拡散中

国際 海外情報

概要:
 メッセージ研究所(MessageLabs)によれば、今月の最も脅威を与えているウイルスの5位に浮上しているAlizウォームが急激に拡散している。英国のウイルス追跡調査機関の調べによると11月20日に383件の感染が確認されたAlizは24時間後には4倍の1,511件に増大、更にメッセージ研究所の報告によれば、23日のグリニッジ標準時間17:00には4,200件以上に被害が拡大しているとのこと。これはニムダを上回る数値である。

 Alizはウインドウズ32ビット対応においては最小容量の4Kの大きさである。(2001年11月21日 ID#106294) Alizは電子メールを使用して拡散・増殖していく。ワームは以下の様なメッセージで受信される。

件名:
 件名は以下の5つの任意な組合わせにより構成される

パート1
Fw: ,Fw: Re:

パート2:
Cool, Nice, Hot, some, Funny, weird, funky, great, Interesting, many

パート3:
website, site, pics, urls, pictures, stuff, mp3s, shit, music, info

パート4:
to check, for you, i found, to see, here, - check it

パート5:
!!, !, :-, ?!, hehe-

メッセージ:
メッセージはブランク。
添付ファイル:
Whatever.exe


Alizワームの生成する件名は以下の様な例になる

Fw: Cool pictures i found !! and
Fw: Re: Nice website to check hehe ;-)


 ワームには表示されていないMIMEがエンコードされ、添付ファイルを開封しなくても自動的に起動する仕組みになっている。ワームは先ず、レジストリを調査しアドレス帳の場所を探す、見つかると記載アドレスにワームのコピーを送付する。ワームはコンピュータ内にプログラムを書き込むということはしない。また、通常見る事が出来ないが以下の様なテキストが添付されている。

:::iworm.alizee.by.mar00n!ikx2oo1:::

while typing this text i realize this text got added on many
av description sites, because this silly worm could be easily
a hype. i wonder which av claims '[companyname] stopped
high risk worm before it could escape!' or shit like that.
heh, or they boycot my virus because of this text. well, it
is easy enough for the poor av's to add this worm; since it
was only released as source in coderz#2... btw,
loveletter*2 power in pure win32asm and only a 4k exe file.
heh, vbs kiddies, phear win32asm. :) thx to: bumblebee!29a,
asmodeus!ikx. greets to: starzer0!ikx, t-2000!ir, ultras!mtx
& sweet gigabyte... btw,burgemeester van sneek: ik zoek
nog een baantje... (alignmentfillingtext)

別名:
Win32.Aliz、W95/Aliz.a

情報ソース:
F-Secure Corp. Nov. 23, 2001
http://www.data-fellows.com/v-descs/aliz.shtml
MessageLabs Nov. 23, 2001
http://www.messagelabs.com/viruseye/threatlist.asp
Panda Software Inc. Nov. 23, 2001
http://service.pandasoftware.es/library/virusCard.jsp?Virus=W32/Aliz

分析:
 Alizワームは急速に拡散しており非破壊ではあるが、繁殖と共にメールサーバー機能の低下を招く危険がある。このワームを受け取って添付を開封、またはメールを受信し開封した恐れのある人は直ぐにヘルプデスク又はシステム管理者に連絡をすること。

 Alizは、マイクロソフトのインターネット・エクスプローラー5.01および5.5の中で既知の脆弱性を利用。 インターネット・エクスプローラー6.0は感染の恐れがない。

リカバリー方法:
 最新アンチウイルスソフトはAlizワームの定義ファイルが追加されている。

ベンダー情報:
 数社のアンチウイルスソフト・ベンダーより定義ファイルが提供されている。また、マイクロソフトからはIE5.1,IE5.5の脆弱性へのパッチが下記サイトで提供されている。
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp.


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【17:21 GMT、11、23、2001】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  7. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  8. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×