オリンピックの判定に疑問を投げかけるSaltlakeワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.24(水)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

オリンピックの判定に疑問を投げかけるSaltlakeワーム

◆概要:  新種のワームSaltlakeは、オリンピックのショートトラック競技で韓国人スケーターに対する判定とその結果、米国(アポロ オーノ)が金メダルを獲得することになった審判団の判定について疑問を問い掛ける形を装って添付ファイルを開かせる新しいワームである

国際 海外情報
◆概要:
 新種のワームSaltlakeは、オリンピックのショートトラック競技で韓国人スケーターに対する判定とその結果、米国(アポロ オーノ)が金メダルを獲得することになった審判団の判定について疑問を問い掛ける形を装って添付ファイルを開かせる新しいワームである。Saltlakeは、電子メールおよびインターネットのリレーチャットによって広まっている。

 Saltlakeによって送信された電子メールメッセージには、次の文字が含まれる。

◆Subject:
 You get off the ice and respect the referees decision

◆Message:
 Do you agree with the judge''s decision to disqualify a Korean
skater and award Apolo Ohno the gold medal Wednesday night?

◆Attachment:
 SALTLAKE.jpg.vbs

 感染したVBSファイルを実行されると、Saltlakeはマイクロソフト社のWindowsオペレーティングシステムを攻撃する。このファイルは、WindowsのSystemディレクトリーにSALTLAKE.jpg.vbsとして自己をコピーする。Saltlakeは、Windowsの起動時にこのファイルが実行されるようにWindowsのリジストリを変更する。

 さらに、mIRCディレクトリーにScript.iniがある場合、このファイルが上書きされ、コンピューターでmIRCが実行されるたびにメモリでワームが実行される。ワームおよびmIRCがメモリで実行されると、Saltlakeが同じmIRCチャンネルに接続されているほかのコンピューターに感染したファイルをアップロードする。Windowsのリジストリは、mIRC script.iniの感染を追跡するように変更され、後で再度感染しないようにキーが追加される。

 Saltlakeは、Kが開発したVBS Worms Generatorにより作成されている。

◆別名:
 I-Worm.Lee-Saltlake

◆情報ソース:
・ AVP
http://www.avp.ch/avpve/worms/email/leesalt.stm),
Feb. 25, 2002

◆分析:
(iDEFENSE 米国) Saltlakeは、Kによって作成されたVBS Worms Generatorで生成された簡単なワームである。同じアプリケーションで作成された悪意のあるコードのうち、最もよく知られているのはKournikovaである。
VBS Worms Generatorは、Kournikovaの発見以来多少休止状態に入っており、ほぼ一年広範囲でプログラムによって作成されたワームに対する防止策が採られてきたため、この新しい変形はコンピューターに対して大きな脅威とはならない。ただ、2001年にKournikovaが現れた月と同じ月にこの新しい変形が出現したことは多少特筆に値する(2001年2月13日、ID#102426を参照)。

◆検知方法:
 WindowsのSystemディレクトリーにSALTLAKE.jpg.vbsがあるかどうかを確認する。さらに、Saltlakeが作成したWindowsのリジストリキーを探す。コンピューターに詳しいユーザーは、悪意のあるコードについてscript.iniを確認することも可能である。

◆リカバリー方法:
 Saltlakeに関連するすべての電子メール、ファイル、Windowsのリジストリキーを削除する。クリーンなバックアップコピーを使って、script.iniを復元する。

◆暫定処置:
 VBSタイプの添付ファイルをブロックするように、電子メールサーバーおよびワークステーションを構成する。日常の作業には必要ないWindowsのScriptingHostをコンピューターから削除する。

◆ベンダー情報:
 AVP/Kaspersky Labsのアンチウイルスソフトウェアは、現在この悪意のあるコードに対する駆除が可能である。ほかのアンチウイルスソフトウェアは、経験則に用いて、このコードを発見できる場合がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【22:15 GMT、02、25、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

VLC Media Player において mkv ファイルのパース処理におけるメモリ操作の不備に起因する Use-After-Free の脆弱性(Scan Tech Report) 画像

VLC Media Player において mkv ファイルのパース処理におけるメモリ操作の不備に起因する Use-After-Free の脆弱性(Scan Tech Report)
MikroTikルータへの攻撃キャンペーン確認、接続デバイス上でマイニング(Avast) 画像

MikroTikルータへの攻撃キャンペーン確認、接続デバイス上でマイニング(Avast)
「このアカウントはセキュリティ上のリスク」Amazon騙るフィッシング(フィッシング対策協議会) 画像

「このアカウントはセキュリティ上のリスク」Amazon騙るフィッシング(フィッシング対策協議会)
開発終了の「YukiWiki」に複数の脆弱性、使用停止を呼びかけ(JVN) 画像

開発終了の「YukiWiki」に複数の脆弱性、使用停止を呼びかけ(JVN)
盗んだクレジットカード情報で旅行手配「不正トラベル」に注意喚起(JC3) 画像

盗んだクレジットカード情報で旅行手配「不正トラベル」に注意喚起(JC3)
オムロン「CX-Supervisor」に複数の脆弱性(JVN) 画像

オムロン「CX-Supervisor」に複数の脆弱性(JVN)

インシデント・事故 記事一覧へ

万博誘致推進室、画像データ残存可能性のあるデジタルカメラ紛失(大阪府) 画像

万博誘致推進室、画像データ残存可能性のあるデジタルカメラ紛失(大阪府)
調査員が個人情報の含まれる「平成30年住宅・土地統計調査」の書類の一部を紛失(つくば市) 画像

調査員が個人情報の含まれる「平成30年住宅・土地統計調査」の書類の一部を紛失(つくば市)
シネマイレージカード会員情報を記載した書類を紛失(TOHOシネマズ) 画像

シネマイレージカード会員情報を記載した書類を紛失(TOHOシネマズ)
『=LOVE デビュー1 周年記念プレミアムイベント』でのCD即売会の予約票を紛失(ローソンエンタテインメント) 画像

『=LOVE デビュー1 周年記念プレミアムイベント』でのCD即売会の予約票を紛失(ローソンエンタテインメント)
SEOプラットフォーム「MIERUCA」の一部サーバに不正アクセス(Faber Company) 画像

SEOプラットフォーム「MIERUCA」の一部サーバに不正アクセス(Faber Company)
外部からの不正アクセスでメールアドレスとパスワードが流出(メジカルビュー社) 画像

外部からの不正アクセスでメールアドレスとパスワードが流出(メジカルビュー社)

調査・レポート・白書 記事一覧へ

WannaCryなどで使用されたポート445へのパケットが増加--定点観測レポート(JPCERT/CC) 画像

WannaCryなどで使用されたポート445へのパケットが増加--定点観測レポート(JPCERT/CC)
根拠なき安心へ突きつける不吉な答え - 書評「原発サイバートラップ」 画像

根拠なき安心へ突きつける不吉な答え - 書評「原発サイバートラップ」
インシデント報告件数、「フィッシングサイト」が「スキャン」を上回る(JPCERT/CC) 画像

インシデント報告件数、「フィッシングサイト」が「スキャン」を上回る(JPCERT/CC)
一部手法を見直した「制御システムのセキュリティリスク分析ガイド」第2版(IPA) 画像

一部手法を見直した「制御システムのセキュリティリスク分析ガイド」第2版(IPA)
狙われるテクノロジー業界、国家関与の犯罪集団も活発(CrowdStrike) 画像

狙われるテクノロジー業界、国家関与の犯罪集団も活発(CrowdStrike)
「SYNフラッド」が大幅減少、帯域幅枯渇を狙うDDoS攻撃が増加(CDNetworks) 画像

「SYNフラッド」が大幅減少、帯域幅枯渇を狙うDDoS攻撃が増加(CDNetworks)

研修・セミナー・カンファレンス 記事一覧へ

業界別 CSIRT ヒヤリハット事例 [Internet Week 2018] 画像

業界別 CSIRT ヒヤリハット事例 [Internet Week 2018]
朝日新聞のサイバー事件報道姿勢 - 記者が語る「伊勢志摩サミット」「ポケドラ」「SkySEA Client View」 画像

朝日新聞のサイバー事件報道姿勢 - 記者が語る「伊勢志摩サミット」「ポケドラ」「SkySEA Client View」
一人CSIRT 一人情シス、最強の製品・外注先選び [Internet Week 2018] 画像

一人CSIRT 一人情シス、最強の製品・外注先選び [Internet Week 2018]
今年の課題はサイバー攻撃の被害調査、専門学校・高専生対象セキュリティコンテスト(MBSD) 画像

今年の課題はサイバー攻撃の被害調査、専門学校・高専生対象セキュリティコンテスト(MBSD)
セキュリティカンファレンス「2018 MPOWER Cybersecurity Summit」開催(マカフィー) 画像

セキュリティカンファレンス「2018 MPOWER Cybersecurity Summit」開催(マカフィー)
【サイバーセキュリティ・ミステリー】 「セキュリティ体制を整えれば整えるほどセキュリティ事故は多発」 学術研究結果 近日公表 画像

【サイバーセキュリティ・ミステリー】 「セキュリティ体制を整えれば整えるほどセキュリティ事故は多発」 学術研究結果 近日公表

製品・サービス・業界動向 記事一覧へ

個人情報等に関する業務委託、行政機関で50件が再委託の契約違反(総務省) 画像

個人情報等に関する業務委託、行政機関で50件が再委託の契約違反(総務省)
スポット型「情報セキュリティ診断サービス」を開始(ALSOK) 画像

スポット型「情報セキュリティ診断サービス」を開始(ALSOK)
「ISO31000:2018」に準拠したクラウドERMアプリ提供に向けトライアル募集(GRCS) 画像

「ISO31000:2018」に準拠したクラウドERMアプリ提供に向けトライアル募集(GRCS)
若者の才能の開花を支援する“すごうで 2019”の募集を開始(ラック) 画像

若者の才能の開花を支援する“すごうで 2019”の募集を開始(ラック)
「飛ばし裏広告」の検知へ2社が取り組みを開始(モメンタム、マイクロアド) 画像

「飛ばし裏広告」の検知へ2社が取り組みを開始(モメンタム、マイクロアド)
エンドポイント型脅威対策市場が急成長、NGAVとEDRが牽引(ミック経済研究所) 画像

エンドポイント型脅威対策市場が急成長、NGAVとEDRが牽引(ミック経済研究所)

おしらせ 記事一覧へ

プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り) 画像

プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り)
ScanNetSecurity 創刊 20 周年の御礼 画像

ScanNetSecurity 創刊 20 周年の御礼
編集部海外取材お土産 < 応募締切 9/30 > 画像

編集部海外取材お土産 < 応募締切 9/30 >
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像

[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像

[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました
Page Top
(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません
×