オリンピックの判定に疑問を投げかけるSaltlakeワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.05.26(土)

オリンピックの判定に疑問を投げかけるSaltlakeワーム

国際 海外情報

◆概要:
 新種のワームSaltlakeは、オリンピックのショートトラック競技で韓国人スケーターに対する判定とその結果、米国(アポロ オーノ)が金メダルを獲得することになった審判団の判定について疑問を問い掛ける形を装って添付ファイルを開かせる新しいワームである。Saltlakeは、電子メールおよびインターネットのリレーチャットによって広まっている。

 Saltlakeによって送信された電子メールメッセージには、次の文字が含まれる。

◆Subject:
 You get off the ice and respect the referees decision

◆Message:
 Do you agree with the judge''s decision to disqualify a Korean
skater and award Apolo Ohno the gold medal Wednesday night?

◆Attachment:
 SALTLAKE.jpg.vbs

 感染したVBSファイルを実行されると、Saltlakeはマイクロソフト社のWindowsオペレーティングシステムを攻撃する。このファイルは、WindowsのSystemディレクトリーにSALTLAKE.jpg.vbsとして自己をコピーする。Saltlakeは、Windowsの起動時にこのファイルが実行されるようにWindowsのリジストリを変更する。

 さらに、mIRCディレクトリーにScript.iniがある場合、このファイルが上書きされ、コンピューターでmIRCが実行されるたびにメモリでワームが実行される。ワームおよびmIRCがメモリで実行されると、Saltlakeが同じmIRCチャンネルに接続されているほかのコンピューターに感染したファイルをアップロードする。Windowsのリジストリは、mIRC script.iniの感染を追跡するように変更され、後で再度感染しないようにキーが追加される。

 Saltlakeは、Kが開発したVBS Worms Generatorにより作成されている。

◆別名:
 I-Worm.Lee-Saltlake

◆情報ソース:
・ AVP
http://www.avp.ch/avpve/worms/email/leesalt.stm),
Feb. 25, 2002

◆分析:
(iDEFENSE 米国) Saltlakeは、Kによって作成されたVBS Worms Generatorで生成された簡単なワームである。同じアプリケーションで作成された悪意のあるコードのうち、最もよく知られているのはKournikovaである。
VBS Worms Generatorは、Kournikovaの発見以来多少休止状態に入っており、ほぼ一年広範囲でプログラムによって作成されたワームに対する防止策が採られてきたため、この新しい変形はコンピューターに対して大きな脅威とはならない。ただ、2001年にKournikovaが現れた月と同じ月にこの新しい変形が出現したことは多少特筆に値する(2001年2月13日、ID#102426を参照)。

◆検知方法:
 WindowsのSystemディレクトリーにSALTLAKE.jpg.vbsがあるかどうかを確認する。さらに、Saltlakeが作成したWindowsのリジストリキーを探す。コンピューターに詳しいユーザーは、悪意のあるコードについてscript.iniを確認することも可能である。

◆リカバリー方法:
 Saltlakeに関連するすべての電子メール、ファイル、Windowsのリジストリキーを削除する。クリーンなバックアップコピーを使って、script.iniを復元する。

◆暫定処置:
 VBSタイプの添付ファイルをブロックするように、電子メールサーバーおよびワークステーションを構成する。日常の作業には必要ないWindowsのScriptingHostをコンピューターから削除する。

◆ベンダー情報:
 AVP/Kaspersky Labsのアンチウイルスソフトウェアは、現在この悪意のあるコードに対する駆除が可能である。ほかのアンチウイルスソフトウェアは、経験則に用いて、このコードを発見できる場合がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【22:15 GMT、02、25、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

人気過去記事

もっと見る

人気過去記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×