オリンピックの判定に疑問を投げかけるSaltlakeワーム | ScanNetSecurity
2021.06.24(木)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

オリンピックの判定に疑問を投げかけるSaltlakeワーム

◆概要:  新種のワームSaltlakeは、オリンピックのショートトラック競技で韓国人スケーターに対する判定とその結果、米国(アポロ オーノ)が金メダルを獲得することになった審判団の判定について疑問を問い掛ける形を装って添付ファイルを開かせる新しいワームである

国際 海外情報
◆概要:
 新種のワームSaltlakeは、オリンピックのショートトラック競技で韓国人スケーターに対する判定とその結果、米国(アポロ オーノ)が金メダルを獲得することになった審判団の判定について疑問を問い掛ける形を装って添付ファイルを開かせる新しいワームである。Saltlakeは、電子メールおよびインターネットのリレーチャットによって広まっている。

 Saltlakeによって送信された電子メールメッセージには、次の文字が含まれる。

◆Subject:
 You get off the ice and respect the referees decision

◆Message:
 Do you agree with the judge''s decision to disqualify a Korean
skater and award Apolo Ohno the gold medal Wednesday night?

◆Attachment:
 SALTLAKE.jpg.vbs

 感染したVBSファイルを実行されると、Saltlakeはマイクロソフト社のWindowsオペレーティングシステムを攻撃する。このファイルは、WindowsのSystemディレクトリーにSALTLAKE.jpg.vbsとして自己をコピーする。Saltlakeは、Windowsの起動時にこのファイルが実行されるようにWindowsのリジストリを変更する。

 さらに、mIRCディレクトリーにScript.iniがある場合、このファイルが上書きされ、コンピューターでmIRCが実行されるたびにメモリでワームが実行される。ワームおよびmIRCがメモリで実行されると、Saltlakeが同じmIRCチャンネルに接続されているほかのコンピューターに感染したファイルをアップロードする。Windowsのリジストリは、mIRC script.iniの感染を追跡するように変更され、後で再度感染しないようにキーが追加される。

 Saltlakeは、Kが開発したVBS Worms Generatorにより作成されている。

◆別名:
 I-Worm.Lee-Saltlake

◆情報ソース:
・ AVP
http://www.avp.ch/avpve/worms/email/leesalt.stm),
Feb. 25, 2002

◆分析:
(iDEFENSE 米国) Saltlakeは、Kによって作成されたVBS Worms Generatorで生成された簡単なワームである。同じアプリケーションで作成された悪意のあるコードのうち、最もよく知られているのはKournikovaである。
VBS Worms Generatorは、Kournikovaの発見以来多少休止状態に入っており、ほぼ一年広範囲でプログラムによって作成されたワームに対する防止策が採られてきたため、この新しい変形はコンピューターに対して大きな脅威とはならない。ただ、2001年にKournikovaが現れた月と同じ月にこの新しい変形が出現したことは多少特筆に値する(2001年2月13日、ID#102426を参照)。

◆検知方法:
 WindowsのSystemディレクトリーにSALTLAKE.jpg.vbsがあるかどうかを確認する。さらに、Saltlakeが作成したWindowsのリジストリキーを探す。コンピューターに詳しいユーザーは、悪意のあるコードについてscript.iniを確認することも可能である。

◆リカバリー方法:
 Saltlakeに関連するすべての電子メール、ファイル、Windowsのリジストリキーを削除する。クリーンなバックアップコピーを使って、script.iniを復元する。

◆暫定処置:
 VBSタイプの添付ファイルをブロックするように、電子メールサーバーおよびワークステーションを構成する。日常の作業には必要ないWindowsのScriptingHostをコンピューターから削除する。

◆ベンダー情報:
 AVP/Kaspersky Labsのアンチウイルスソフトウェアは、現在この悪意のあるコードに対する駆除が可能である。ほかのアンチウイルスソフトウェアは、経験則に用いて、このコードを発見できる場合がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【22:15 GMT、02、25、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

IPAやJPCERT/CCより先に連絡を ~ Microsoft がバウンティハンターへ呼びかけ 画像

IPAやJPCERT/CCより先に連絡を ~ Microsoft がバウンティハンターへ呼びかけ
Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性 画像

Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性
我らかく戦えり 第2回「努力の払い損にはならない、送信側にも目に見える効果をもたらす DMARC」 画像

我らかく戦えり 第2回「努力の払い損にはならない、送信側にも目に見える効果をもたらす DMARC」
日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性 画像

日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性
Hitachi Application Server ヘルプにXSSの脆弱性 画像

Hitachi Application Server ヘルプにXSSの脆弱性
病院向け情報管理システム OpenClinic GA に複数の脆弱性 画像

病院向け情報管理システム OpenClinic GA に複数の脆弱性

インシデント・事故 記事一覧へ

埋蔵文化財発掘届を撮影 201件の個人情報記録したデジタルカメラ紛失 画像

埋蔵文化財発掘届を撮影 201件の個人情報記録したデジタルカメラ紛失
セゾン自動車火災保険の契約者専用ページに不正ログイン、約1万件が被害に 画像

セゾン自動車火災保険の契約者専用ページに不正ログイン、約1万件が被害に
大阪メトロサービスのメールサーバへ不正アクセス、不審メール送信の踏み台に 画像

大阪メトロサービスのメールサーバへ不正アクセス、不審メール送信の踏み台に
ランサムウェア被害の岡野バルブ製造、調査結果と再発防止策を発表 画像

ランサムウェア被害の岡野バルブ製造、調査結果と再発防止策を発表
エスプレッソマシン専門ECサイトへ不正アクセス、最大2,551枚のカード情報流出の可能性 画像

エスプレッソマシン専門ECサイトへ不正アクセス、最大2,551枚のカード情報流出の可能性
パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認 画像

パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

調査・レポート・白書 記事一覧へ

テレワーク実施組織でのセキュリティインシデント発生状況 ~ デジタルアーツ調査 画像

テレワーク実施組織でのセキュリティインシデント発生状況 ~ デジタルアーツ調査
プルーフポイント、パンデミックの1年間を経て世界のCISOが直面する課題を調査「2021 Voice of the CISO」発表 画像

プルーフポイント、パンデミックの1年間を経て世界のCISOが直面する課題を調査「2021 Voice of the CISO」発表
「情報通信業」では9割以上がテレワーク導入、インターネットへの不安は「情報漏えい」が9割超 画像

「情報通信業」では9割以上がテレワーク導入、インターネットへの不安は「情報漏えい」が9割超
「デジタル子会社」に分類される企業は47社中5社と僅か、不足する職種や能力を補う方法を提示 画像

「デジタル子会社」に分類される企業は47社中5社と僅か、不足する職種や能力を補う方法を提示
7割が知らない、ダークウェブ認知度 画像

7割が知らない、ダークウェブ認知度
「ICTサイバーセキュリティ総合対策2021」(案)への意見募集、COVID-19 対応を受けたセキュリティ対策を推進 画像

「ICTサイバーセキュリティ総合対策2021」(案)への意見募集、COVID-19 対応を受けたセキュリティ対策を推進

研修・セミナー・カンファレンス 記事一覧へ

プルーフポイント、サイバージムと共同で内部脅威をテーマとしたWebセミナーを開催 画像

プルーフポイント、サイバージムと共同で内部脅威をテーマとしたWebセミナーを開催
NICT、3Dモデリングの Interop Tokyo 2021 展示会場オンライン公開 画像

NICT、3Dモデリングの Interop Tokyo 2021 展示会場オンライン公開
クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威 画像

クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威
質疑応答は無制限、CrowdStrikeがエンドポイント保護のウェビナー6月24日開催 画像

質疑応答は無制限、CrowdStrikeがエンドポイント保護のウェビナー6月24日開催
リセラー・SIer 対象、Proofpoint Email Security 商談事例と販売方法 オンライン解説 画像

リセラー・SIer 対象、Proofpoint Email Security 商談事例と販売方法 オンライン解説
実践的サイバー防御演習「CYDER」の2021年度開催概要を公開、Cコース(準上級)、オンラインAコース(初級)を新設 画像

実践的サイバー防御演習「CYDER」の2021年度開催概要を公開、Cコース(準上級)、オンラインAコース(初級)を新設

製品・サービス・業界動向 記事一覧へ

大阪の奇跡「純国産SOCサービス」セキュアヴェイル、垂直統合までの20年 画像

大阪の奇跡「純国産SOCサービス」セキュアヴェイル、垂直統合までの20年
日本発 IoT セキュリティ国際標準規格成立 画像

日本発 IoT セキュリティ国際標準規格成立
「Proofpoint CASB」、Microsoft Teams の DLP パートナーに認定 画像

「Proofpoint CASB」、Microsoft Teams の DLP パートナーに認定
「セキュリティ専門家による訪問指導4回」中小企業が考える適正価格 画像

「セキュリティ専門家による訪問指導4回」中小企業が考える適正価格
FireEye、製品事業を現金12億ドルで売却 画像

FireEye、製品事業を現金12億ドルで売却
東証一部上場の人材派遣大手、全社員2万人に多要素認証導入 画像

東証一部上場の人材派遣大手、全社員2万人に多要素認証導入

おしらせ 記事一覧へ

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×