電子メールの開封とともに活動を開始するワームShoho | ScanNetSecurity
2025.02.28(金)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

電子メールの開封とともに活動を開始するワームShoho

概要:
 Shoho はマイクロソフトのInternet Explorer MS01-020 が持つIframeの脆弱性を悪用した大量メール送信型の新種ワームであり、ユーザーが感染したメールをプレビューあるいは開封すると、自動的にその添付ファイルの実行を開始する。Shoho で送付される電子メー

国際
30 views
概要:
 Shoho はマイクロソフトのInternet Explorer MS01-020 が持つIframeの脆弱性を悪用した大量メール送信型の新種ワームであり、ユーザーが感染したメールをプレビューあるいは開封すると、自動的にその添付ファイルの実行を開始する。Shoho で送付される電子メールは以下の特徴を持っている。

Subject:Welcome to Yahoo! Mail
本文:This message uses a character set that is not supported by the
Internet Service. To view the original message content, open the attached
message. If the text doesn't display correctly, save the attachment to
disk, and then open it using a viewer that can display the original
character set.
添付ファイル: README.TXT .pif (110.592 bytes)

 添付ファイルのファイル名に複数のスペースがあるため、ユーザーはその添付ファイルが通常の.txtタイプのファイルで安全なものと誤解する可能性がある。一般的に、実際の.pif拡張子タイプを表示するのではなく、ファイル名を短縮して、単にREADME.TXT… と表示するコンピューターが多いためである。

 仮に感染した添付ファイルが実行されると、このワームそのものが自己複製し、Windows またはWindows SystemフォルダーにWINL0G0N.exe.で保存される。へこのファイル名は正規のファイル名やWindowsのサービス名に酷似しているが、ローマ字の「O」の代りに「0(ゼロ)」が 使われている。さらに、正規のファイルは通常Windows System32 のディレクトリー内に保存されており、上位階層のSystemやWindowsのディレクトリーに存在することは少ない。

 Shoho は感染メールを大量にメール送信するため、独自のSMTPエンジンを持っている。ハードディスクの拡張検索を行って、.emlや .mbx 、.wabなどのファイル内にアドレスを潜在させるのである。ワームが与えたアドレスは大量メール送信のためにemailinfo.txt の中に保存される。Shohoが以下のファイルをローカルのシステムに加えることもありうる。

・C:WINDOWSemail.txt
・C:WINDOWSDRWATSON
・C:WINDOWSDRWATSONFRAME.htm
・C:WINDOWSSYSTEMWINL0G0N.exe
・C:WINDOWSWINL0G0N.exe
・email.txt
・emailinfo.txt

また、Shoho は以下のファイルを削除する可能性がある。
・C:WINDOWS1STBOOT.bmp
・C:WINDOWSASD.exe
・C:WINDOWSCLEANMGR.exe
・C:WINDOWSCLSPACK.exe
・C:WINDOWSCONTROL.exe
・C:WINDOWSCVTAPLOG.exe
・C:WINDOWSDEFRAG.exe
・C:WINDOWSDOSREP.exe
・C:WINDOWSDRWATSON.exe
・C:WINDOWSDRWATSON
・C:WINDOWSDRWATSONFRAME.htm
・C:WINDOWSEMM386.exe
・C:WINDOWSHIMEM.sys
・C:WINDOWSHWINFO.exe
・C:WINDOWSJAUTOEXP.dat
・C:WINDOWSKacheln.bmp
・C:WINDOWSKreise.bmp
・C:WINDOWSLICENSE.txt
・C:WINDOWSLOGOS.sys
・C:WINDOWSLOGOW.sys
・C:WINDOWSMORICONS.dll
・C:WINDOWSNDDEAPI.dll
・C:WINDOWSNDDENB.dll
・C:WINDOWSNETDET.ini
・C:WINDOWSRAMDRIVE.sys
・C:WINDOWSRUNHELP.cab
・C:WINDOWSSCRIPT.doc
・C:WINDOWSSetup.bmp
・C:WINDOWSSMARTDRV.exe
・C:WINDOWSStreifen.bmp
・C:WINDOWSSUBACK.bin
・C:WINDOWSSUPPORT.txt
・C:WINDOWSTELEPHON.ini
・C:WINDOWSW98SETUP.bin
・C:WINDOWSWellen.bmp
・C:WINDOWSWIN.com
・C:WINDOWSWIN.ini
・C:WINDOWSWINSOCK.dll

 また、Windowsの起動時にはShohoの実行が可能となるよう、以下のキーを利用して、WINL0G0N.exeを通じシステムリジストリにも変更が加えられる。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunWINL0G0N.EXE="c:windowsWINL0G0N.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWINL0G0N.EXE="c:windowsWINL0G0N.EXE"

 Windowsが起動すると、WINL0G0N.exe がメモリー内で実行を始めるため、GPFエラーを引き起こす可能性がある。

別名:
Worm.Welyah, W32/Shoho@MM, Welyah

情報ソース:
Network Associates Inc./McAfee.com Dec. 20, 2001
http://vil.nai.com/vil/virusSummary.asp?virus_k=99286
・F-Secure Corp. Dec. 20,2001
http://www.f-secure.com/v-descs/welyah.shtml

分析:
(iDEFENSE 米国)  Shohoは大量メール送信型の破壊的ワームであり、システムを動作不能にする可能性を持っている。MS01-020の脆弱性は旧式のため、すみやかにパッチで補強する必要がある。マイクロソフトが提供する新型のIEパッチは少なくとも入手すべきである。多くのユーザーはIEのアップデートを完了してきているが、一方でこのワームが破壊的であることを考えると、Shoho はそのままの形を残しながら表面的に抑えられた状態で推移する可能性がある。

検知方法:
システム上の以下のファイルを検索してみる必要がある。

・C:WINDOWSemail.txt
・C:WINDOWSDRWATSON
・C:WINDOWSDRWATSONFRAME.htm
・C:WINDOWSSYSTEMWINL0G0N.exe (110.592 bytes)
・C:WINDOWSWINL0G0N.exe (110.592 bytes)
・email.txt
・emailinfo.txt

 上級クラスのユーザーでは、さらにSystemレジストリ内の以下のRunエントリーについても検索することが望ましい。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunWINL0G0N.EXE="c:windowsWINL0G0N.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWINL0G0N.EXE="c:windowsWINL0G0N.EXE"

 加えて、もしシステムの機能が低下したり、Windowsの起動時にGPFエラーが発生したりする場合は、Shohoによって削除されたファイルがないか確認する必要がある。

リカバリー方法:
 バックアップで削除されたファイルをリストアするか、必要に応じて再インストールを行う。ワームによって作成されたファイルや電子メールをすべて削除するとともに、ワームが作成したレジストリのエントリーを取り除く。

暫定処置:
 IEのアップデート版をすべて入手する。IEの5.x バージョンを利用しているユーザーの場合は、6.xバージョンにアップデートする必要があるだろう。6.x バージョンへのアップデートを行う場合は、新たなバージョンに必要なパッチを以下のサイトでマイクロソフトから入手することを忘れてはならない。

・MS01-020 Advisory & Patch at
http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/MS01-020.asp
・Microsoft Security Advisor at
http://www.microsoft.com/technet/mpsa/start.asp
・Microsoft IE Critical Update Center at
http://www.microsoft.com/windows/ie/downloads/critical/
・Microsoft HotFix & Security Center at
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp

ベンダー情報:
 McAfee.com 社では、今回の新種ワーム対策として最新のDATファイルを2001年12月21日までにリリースすることを予定している。ウイルス対策ソフトによっては経験則を用いて検出する場合がある。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【16:24 GMT、12、20、2001】

《ScanNetSecurity》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×