電子メールの開封とともに活動を開始するワームShoho

概要：
　Shoho はマイクロソフトのInternet Explorer MS01-020 が持つIframeの脆弱性を悪用した大量メール送信型の新種ワームであり、ユーザーが感染したメールをプレビューあるいは開封すると、自動的にその添付ファイルの実行を開始する。Shoho で送付される電子メー

国際海外情報

2001年12月21日（金） 12時00分

概要：
　Shoho はマイクロソフトのInternet Explorer MS01-020 が持つIframeの脆弱性を悪用した大量メール送信型の新種ワームであり、ユーザーが感染したメールをプレビューあるいは開封すると、自動的にその添付ファイルの実行を開始する。Shoho で送付される電子メールは以下の特徴を持っている。

Subject：Welcome to Yahoo! Mail
本文：This message uses a character set that is not supported by the
Internet Service. To view the original message content, open the attached
message. If the text doesn't display correctly, save the attachment to
disk, and then open it using a viewer that can display the original
character set.
添付ファイル： README.TXT .pif (110.592 bytes)

　添付ファイルのファイル名に複数のスペースがあるため、ユーザーはその添付ファイルが通常の.txtタイプのファイルで安全なものと誤解する可能性がある。一般的に、実際の.pif拡張子タイプを表示するのではなく、ファイル名を短縮して、単にREADME.TXT… と表示するコンピューターが多いためである。

　仮に感染した添付ファイルが実行されると、このワームそのものが自己複製し、Windows またはWindows SystemフォルダーにWINL0G0N.exe.で保存される。へこのファイル名は正規のファイル名やWindowsのサービス名に酷似しているが、ローマ字の「O」の代りに「０（ゼロ）」が使われている。さらに、正規のファイルは通常Windows System32 のディレクトリー内に保存されており、上位階層のSystemやWindowsのディレクトリーに存在することは少ない。

　Shoho は感染メールを大量にメール送信するため、独自のSMTPエンジンを持っている。ハードディスクの拡張検索を行って、.emlや .mbx 、.wabなどのファイル内にアドレスを潜在させるのである。ワームが与えたアドレスは大量メール送信のためにemailinfo.txt の中に保存される。Shohoが以下のファイルをローカルのシステムに加えることもありうる。

・C:WINDOWSemail.txt
・C:WINDOWSDRWATSON
・C:WINDOWSDRWATSONFRAME.htm
・C:WINDOWSSYSTEMWINL0G0N.exe
・C:WINDOWSWINL0G0N.exe
・email.txt
・emailinfo.txt

また、Shoho は以下のファイルを削除する可能性がある。
・C:WINDOWS1STBOOT.bmp
・C:WINDOWSASD.exe
・C:WINDOWSCLEANMGR.exe
・C:WINDOWSCLSPACK.exe
・C:WINDOWSCONTROL.exe
・C:WINDOWSCVTAPLOG.exe
・C:WINDOWSDEFRAG.exe
・C:WINDOWSDOSREP.exe
・C:WINDOWSDRWATSON.exe
・C:WINDOWSDRWATSON
・C:WINDOWSDRWATSONFRAME.htm
・C:WINDOWSEMM386.exe
・C:WINDOWSHIMEM.sys
・C:WINDOWSHWINFO.exe
・C:WINDOWSJAUTOEXP.dat
・C:WINDOWSKacheln.bmp
・C:WINDOWSKreise.bmp
・C:WINDOWSLICENSE.txt
・C:WINDOWSLOGOS.sys
・C:WINDOWSLOGOW.sys
・C:WINDOWSMORICONS.dll
・C:WINDOWSNDDEAPI.dll
・C:WINDOWSNDDENB.dll
・C:WINDOWSNETDET.ini
・C:WINDOWSRAMDRIVE.sys
・C:WINDOWSRUNHELP.cab
・C:WINDOWSSCRIPT.doc
・C:WINDOWSSetup.bmp
・C:WINDOWSSMARTDRV.exe
・C:WINDOWSStreifen.bmp
・C:WINDOWSSUBACK.bin
・C:WINDOWSSUPPORT.txt
・C:WINDOWSTELEPHON.ini
・C:WINDOWSW98SETUP.bin
・C:WINDOWSWellen.bmp
・C:WINDOWSWIN.com
・C:WINDOWSWIN.ini
・C:WINDOWSWINSOCK.dll

　また、Windowsの起動時にはShohoの実行が可能となるよう、以下のキーを利用して、WINL0G0N.exeを通じシステムリジストリにも変更が加えられる。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunWINL0G0N.EXE="c:windowsWINL0G0N.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWINL0G0N.EXE="c:windowsWINL0G0N.EXE"

　Windowsが起動すると、WINL0G0N.exe がメモリー内で実行を始めるため、GPFエラーを引き起こす可能性がある。

別名：
Worm.Welyah, W32/Shoho@MM, Welyah

情報ソース：
Network Associates Inc./McAfee.com Dec. 20, 2001
http://vil.nai.com/vil/virusSummary.asp?virus_k=99286
・F-Secure Corp. Dec. 20,2001
http://www.f-secure.com/v-descs/welyah.shtml

分析：
(iDEFENSE 米国) 　Shohoは大量メール送信型の破壊的ワームであり、システムを動作不能にする可能性を持っている。MS01-020の脆弱性は旧式のため、すみやかにパッチで補強する必要がある。マイクロソフトが提供する新型のIEパッチは少なくとも入手すべきである。多くのユーザーはIEのアップデートを完了してきているが、一方でこのワームが破壊的であることを考えると、Shoho はそのままの形を残しながら表面的に抑えられた状態で推移する可能性がある。

検知方法：
システム上の以下のファイルを検索してみる必要がある。

・C:WINDOWSemail.txt
・C:WINDOWSDRWATSON
・C:WINDOWSDRWATSONFRAME.htm
・C:WINDOWSSYSTEMWINL0G0N.exe (110.592 bytes)
・C:WINDOWSWINL0G0N.exe (110.592 bytes)
・email.txt
・emailinfo.txt

　上級クラスのユーザーでは、さらにSystemレジストリ内の以下のRunエントリーについても検索することが望ましい。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunWINL0G0N.EXE="c:windowsWINL0G0N.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWINL0G0N.EXE="c:windowsWINL0G0N.EXE"

　加えて、もしシステムの機能が低下したり、Windowsの起動時にGPFエラーが発生したりする場合は、Shohoによって削除されたファイルがないか確認する必要がある。

リカバリー方法：
　バックアップで削除されたファイルをリストアするか、必要に応じて再インストールを行う。ワームによって作成されたファイルや電子メールをすべて削除するとともに、ワームが作成したレジストリのエントリーを取り除く。

暫定処置：
　IEのアップデート版をすべて入手する。IEの5.x バージョンを利用しているユーザーの場合は、6.xバージョンにアップデートする必要があるだろう。6.x バージョンへのアップデートを行う場合は、新たなバージョンに必要なパッチを以下のサイトでマイクロソフトから入手することを忘れてはならない。

・MS01-020 Advisory & Patch at
http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/MS01-020.asp
・Microsoft Security Advisor at
http://www.microsoft.com/technet/mpsa/start.asp
・Microsoft IE Critical Update Center at
http://www.microsoft.com/windows/ie/downloads/critical/
・Microsoft HotFix & Security Center at
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp

ベンダー情報：
　McAfee.com 社では、今回の新種ワーム対策として最新のDATファイルを2001年12月21日までにリリースすることを予定している。ウイルス対策ソフトによっては経験則を用いて検出する場合がある。

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【16:24 GMT、12、20、2001】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

電子メールの開封とともに活動を開始するワームShoho

Scan PREMIUM 会員限定記事

今日もどこかで情報漏えい第23回「2024年3月の情報漏えい」なめるなという決意ここまでやるという矜恃

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

ガートナークラウドクッキング教室～ CCoE 構築の重要性

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

訃報：セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

RoamWiFi R10 に複数の脆弱性

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

Armeria-saml に SAML メッセージ取り扱い不備

LINE client for iOS にサーバ証明書の検証不備の脆弱性

Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害

PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性

インシデント・事故 記事一覧へ

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

笛吹市商工会へのサポート詐欺被害、調査結果公表

「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

調査・レポート・白書・ガイドライン 記事一覧へ

重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性

国内カード発行会社のドメイン毎の DMARC 設定率 36.2％「キャッシュレスセキュリティレポート（2023年10-12月版）」公表

社員のセキュリティ意欲高める施策とは？ 罰則は逆効果 ～ プルーフポイント「2024 State of the Phish」日本語版公表

セキュリティにおける効果は実感できるのか ～ SECURITY ACTION 宣言「得られた効果はない」最多

研修・セミナー・カンファレンス 記事一覧へ

札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

スペシャリスト集結！ マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

Reject 運用のポイント他 ～ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ～ SECON & eGISEC 2024 開催

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

脆弱性診断自動化ツール「AeyeScan」アップデート、Apache httpd の脆弱性スキャンルール追加

研究開発の推進責務が撤廃ほか ～「NTT法」改正法律成立を受け NTT がコメント

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース

情報処理学会、高等学校情報科の全教科書の用語リスト公開

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

今日もどこかで情報漏えい第23回「2024年3月の情報漏えい」なめるなという決意ここまでやるという矜恃

訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

ガートナークラウドクッキング教室～ CCoE 構築の重要性

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

調査・レポート・白書・ガイドライン記事一覧へ

重い高い検索も使いにくいメールを企業の 6 割が使う理由

社員のセキュリティ意欲高める施策とは？罰則は逆効果～プルーフポイント「2024 State of the Phish」日本語版公表

セキュリティにおける効果は実感できるのか～ SECURITY ACTION 宣言「得られた効果はない」最多

研修・セミナー・カンファレンス記事一覧へ

スペシャリスト集結！マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

ガートナークラウドクッキング教室～ CCoE 構築の重要性

Reject 運用のポイント他～日本プルーフポイント「DMARC Conference 2024」5 月末大手町で開催

韓国の 2024年セキュリティ市場規模 8,000 億円見込～ SECON & eGISEC 2024 開催

製品・サービス・業界動向記事一覧へ

研究開発の推進責務が撤廃ほか～「NTT法」改正法律成立を受け NTT がコメント

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ