システムファイルの削除を試みる新種ウイルス「YARNER」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.26(火)

システムファイルの削除を試みる新種ウイルス「YARNER」

脆弱性と脅威 脅威動向

 2月19日、感染力が高く、Windowsフォルダ内のファイルを削除する新種のワーム型ウイルス「YARNER」が発見された。このウイルスは、「Trojaner-Info Newsletter」という件名のメールにより送信されており、添付ファイルを実行することにより感染する。感染したマシンは、メモ帳のプログラム名を「NOTEDPAD.EXE」に変更し、自身を「NOTEPAD.EXE」でコピーをする。これにより、メモ帳が実行されるたびにウイルスが起動し、それと同時に本来のメモ帳も起動するため、ウイルスが起動していることを気付かせないようになっている。

 その後、Outlookのアドレス帳や、ローカルファイル内に記録されているアドレスを収集。kerneI.daaというファイルとしてデータを保存し、自身のコピーを送信する。なお、ウイルス内にSMTPエンジンを含んでいるため、メーラーなどを利用することなくウイルスが送信されるため、感染力が非常に高い。

 また、ウイルスが実行された際に、無作為にWindowsフォルダ内のファイルを、無作為に削除するといった活動をするため、最悪の場合システムを破壊されるおそれがあるので注意が必要だ。



各社の対応状況

▼トレンドマイクロ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 パターンファイル231以降で対応

ウイルス詳細:(YARNER.Aが原種)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=
WORM_YARNER.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=
WORM_YARNER.B
パターンファイルダウンロードサイト:
http://www.trendmicro.co.jp/support/index.htm

▼シマンテック
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2月19日付け以降の定義ファイルで対応

ウイルス詳細:
シマンテック(日本語ページの掲載が無いため英語になります)
http://www.symantec.com/avcenter/venc/data/js.gigger.a@mm.html
定義ファイルダウンロードサイト:
http://www.symantec.co.jp/region/jp/sarcj/download.html

▼日本ネットワークアソシエイツ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 DATファイル4187以降、エンジンで4.0.70以降対応

ウイルス詳細:(日本語ページの掲載が無いため英語になります)
http://vil.nai.com/vil/content/v_99365.htm
http://vil.nai.com/vil/content/v_99365.htm
DATファイルダウンロードサイト:
http://www.nai.com/japan/download/dat.asp

▼エフ・セキュア
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2月19日付で対応済。

ウイルス詳細:
http://www.europe.f-secure.com/v-descs/yarner.shtml
パターンファイルダウンロードサイト:
http://www.F-Secure.com/download-purchase/updates.shtml

▼CSE
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2月19日に配布されているideファイルにて対応

ウイルス詳細:
http://www.sophos.co.jp/virusinfo/analyses/w32yarner.html
パターンファイルダウンロードサイト:
http://www.cseltd.co.jp/security/sav/downloads/ide/ide.htm


(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
      ウィルスにかかったら いますぐダウンロード!
http://www.vector.co.jp/shop/vagabond/catalogue/vb/?srno=SR026195&site=vg
http://www.vector.co.jp/swreg/catalogue/norton/?srno=SR026803&site=vg
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. 自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

    自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

  2. Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

    Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

  3. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

    Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  4. Git における値検証不備を悪用して任意のコードが実行可能となる脆弱性(Scan Tech Report)

  5. 富士ゼロックスが提供する複数の製品に任意コード実行の脆弱性(JVN)

  6. 「WannaCry」や「Mirai」の亜種や別種によるアクセスが増加(警察庁)

  7. 幅広い環境が影響を受けるBluetoothの脆弱性「BlueBorne」に注意喚起(JPCERT/CC)

  8. NTT西日本の「フレッツ接続ツール」に任意コード実行の脆弱性(JVN)

  9. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  10. Microsoft Windows の GDI に Palette オブジェクトにおける整数オーバーフローにより管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×