香港で作成されたShohoワームの亜種が複数発見される | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.01.23(火)

香港で作成されたShohoワームの亜種が複数発見される

国際 海外情報

概要:
 Shohoは、マイクロソフト社のInternet ExplorerのMS01-020 Iframe脆弱性(ID# 106644、Dec. 20, 2001)を利用した、大量メール送信型ワームである。Shohoの亜種が最近確認され、少しずつ拡散しつつある。

 いくつかの亜種は、比較的短期の間に発見されている。また、亜種は中国、香港、ヨルダン、台湾、および米国で検知されていると報告されているが、現時点では香港で最も多く発見されている。Shoho亜種の発見数は、特に2001年12月22日と24日に増加した。感染している添付ファイルのサイズは、42,816バイトから110,592バイトまでの間で変化する。

オリジナルのShohoワームが送信する電子メールは、次のような内容。

Subject:Welcome to Yahoo! Mail

本文:
This message uses a character set that is
not supported by the Internet Service.To
view the original message content, open the
attached message. If the text doesn't display
correctly, save the attachment to disk, and
then open it using a viewer that can display
the original character set.

<本文の意訳>
(このメッセージにはお使いのインターネットサービスでサポートしていない文字セットが使用されています。オリジナルのメッセージコンテンツを表示するには、添付メッセージを開いてください。テキストが正しく表示されない場合は、添付ファイルをディスクに保存してから、元の文字セットを表示できるビューアを使って開いてください。)

添付ファイル:README.TXT .pif (110.592 bytes)

 この悪意のあるコードの詳細については、Shohoに関する報告(ID# 106644, Dec. 20, 2001)を参照。


別名:
Worm.Welyah、W32/Shoho@MM、Welyah


情報ソース:
Network Associates Inc./McAfee.com Dec. 20, 2001
http://vil.nai.com/vil/virusSummary.asp?virus_k=99286
F-Secure Corp. Dec. 20, 2001
http://www.f-secure.com/v-descs/welyah.shtml
MessageLabs Dec. 24, 2001
http://www.messagelabs.com/viruseye/threatlist.asp


分析:
(iDEFENSE 米国) 複数の亜種が、最近大量に発見されているのは複数の要因が考えられる。
・Shohoのコピーが他の攻撃者の手に入り、若干の修正が加えられて再度拡散してる。
・Shohoのコピーが、メールで何度も転送されているうちに壊れ、その結果 複数の亜種が発生した。
・Shohoが、リモート、またはウェブサイト・ニュースグループを介して更新された結果、新しい亜種が発生した。
・元々のShohoの拡散を支援する目的で、亜種が故意に作成されている。

 Shohoの亜種は、元々のワームに比べ、より検出が困難である。よって、Internet Explorerをまだ更新していないユーザーは、この悪意のあるコードの感染に対し、より高いリスクにさらされるかどうかは不明。ただし、この種の悪意のあるコードによる攻撃を防ぐにはInternet Explorerの更新が必須といえる。


検知方法:
 次のようなファイルがハードディスクに存在する場合は、Shohoに感染している可能性がある。

・C:WINDOWSemail.txt
・C:WINDOWSDRWATSON
・C:WINDOWSDRWATSONFRAME.htm
・C:WINDOWSSYSTEMWINL0G0N.exe(110.592バイト)
・C:WINDOWSSYSTEMWINL0G0N.exe(110.592バイト)
・email.txt
・emailinfo.txt

 専門的なユーザーは、次のシステム・レジストリにて Runのエントリーが確認できる。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun WINL0G0N.EXE="c:windowsWINL0G0N.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun WINL0G0N.EXE="c:windowsWINL0G0N.EXE"

 また、システムの機能性が損なわれたり、Windowsを再起動した際にGPFエラーが発生した場合、Shohoが削除した可能性のあるファイルを検索する。


リカバリー方法:
 削除されたファイルを、バックアップファイルまたは再インストールによって復元する。また、ワームが作成したファイルと電子メールをすべて削除する。同じく、ワームが作成したレジストリのエントリー削除する。


暫定処置:
 発行されている IEのパッチをすべて入手する。現在IEのversion 5.xを使用しているユーザーは、version 6.xに更新することが望ましい。また、6.x に更新した場合、マイクロソフト社から発表されている6.x用の各種パッチをインストールすること。これはパッチは、下記サイトで入手可能。

・MS01-020 Advisory & Patch:
http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/MS01-020.asp
・Microsoft Security Advisor:
http://www.microsoft.com/technet/mpsa/start.asp
・Microsoft IE Critical Update Center:
http://www.microsoft.com/windows/ie/downloads/critical/
・Microsoft HotFix & Security Center:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp


ベンダー情報:
 ウイルス対策ソフトウェアは、経験則を用いて当該ワームを検出できる場合もある。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【17:35 GMT、12、26、2001】

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
      ウィルスにかかったら いますぐダウンロード!
http://www.vector.co.jp/shop/vagabond/catalogue/vb/?srno=SR026195&site=vg
http://www.vector.co.jp/swreg/catalogue/norton/?srno=SR026803&site=vg
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×