Alizワームが急速に拡散中 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

Alizワームが急速に拡散中

国際 海外情報

概要:
 メッセージ研究所(MessageLabs)によれば、今月の最も脅威を与えているウイルスの5位に浮上しているAlizウォームが急激に拡散している。英国のウイルス追跡調査機関の調べによると11月20日に383件の感染が確認されたAlizは24時間後には4倍の1,511件に増大、更にメッセージ研究所の報告によれば、23日のグリニッジ標準時間17:00には4,200件以上に被害が拡大しているとのこと。これはニムダを上回る数値である。

 Alizはウインドウズ32ビット対応においては最小容量の4Kの大きさである。(2001年11月21日 ID#106294) Alizは電子メールを使用して拡散・増殖していく。ワームは以下の様なメッセージで受信される。

件名:
 件名は以下の5つの任意な組合わせにより構成される

パート1
Fw: ,Fw: Re:

パート2:
Cool, Nice, Hot, some, Funny, weird, funky, great, Interesting, many

パート3:
website, site, pics, urls, pictures, stuff, mp3s, shit, music, info

パート4:
to check, for you, i found, to see, here, - check it

パート5:
!!, !, :-, ?!, hehe-

メッセージ:
メッセージはブランク。
添付ファイル:
Whatever.exe


Alizワームの生成する件名は以下の様な例になる

Fw: Cool pictures i found !! and
Fw: Re: Nice website to check hehe ;-)


 ワームには表示されていないMIMEがエンコードされ、添付ファイルを開封しなくても自動的に起動する仕組みになっている。ワームは先ず、レジストリを調査しアドレス帳の場所を探す、見つかると記載アドレスにワームのコピーを送付する。ワームはコンピュータ内にプログラムを書き込むということはしない。また、通常見る事が出来ないが以下の様なテキストが添付されている。

:::iworm.alizee.by.mar00n!ikx2oo1:::

while typing this text i realize this text got added on many
av description sites, because this silly worm could be easily
a hype. i wonder which av claims '[companyname] stopped
high risk worm before it could escape!' or shit like that.
heh, or they boycot my virus because of this text. well, it
is easy enough for the poor av's to add this worm; since it
was only released as source in coderz#2... btw,
loveletter*2 power in pure win32asm and only a 4k exe file.
heh, vbs kiddies, phear win32asm. :) thx to: bumblebee!29a,
asmodeus!ikx. greets to: starzer0!ikx, t-2000!ir, ultras!mtx
& sweet gigabyte... btw,burgemeester van sneek: ik zoek
nog een baantje... (alignmentfillingtext)

別名:
Win32.Aliz、W95/Aliz.a

情報ソース:
F-Secure Corp. Nov. 23, 2001
http://www.data-fellows.com/v-descs/aliz.shtml
MessageLabs Nov. 23, 2001
http://www.messagelabs.com/viruseye/threatlist.asp
Panda Software Inc. Nov. 23, 2001
http://service.pandasoftware.es/library/virusCard.jsp?Virus=W32/Aliz

分析:
 Alizワームは急速に拡散しており非破壊ではあるが、繁殖と共にメールサーバー機能の低下を招く危険がある。このワームを受け取って添付を開封、またはメールを受信し開封した恐れのある人は直ぐにヘルプデスク又はシステム管理者に連絡をすること。

 Alizは、マイクロソフトのインターネット・エクスプローラー5.01および5.5の中で既知の脆弱性を利用。 インターネット・エクスプローラー6.0は感染の恐れがない。

リカバリー方法:
 最新アンチウイルスソフトはAlizワームの定義ファイルが追加されている。

ベンダー情報:
 数社のアンチウイルスソフト・ベンダーより定義ファイルが提供されている。また、マイクロソフトからはIE5.1,IE5.5の脆弱性へのパッチが下記サイトで提供されている。
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp.


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【17:21 GMT、11、23、2001】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. SMSによる二要素認証が招くSOS(The Register)

    SMSによる二要素認証が招くSOS(The Register)

  4. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  5. フィッシング詐欺支援サービスの価格表(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×