オリンピックの判定に疑問を投げかけるSaltlakeワーム | ScanNetSecurity
2020.09.21(月)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

オリンピックの判定に疑問を投げかけるSaltlakeワーム

◆概要:  新種のワームSaltlakeは、オリンピックのショートトラック競技で韓国人スケーターに対する判定とその結果、米国(アポロ オーノ)が金メダルを獲得することになった審判団の判定について疑問を問い掛ける形を装って添付ファイルを開かせる新しいワームである

国際 海外情報
◆概要:
 新種のワームSaltlakeは、オリンピックのショートトラック競技で韓国人スケーターに対する判定とその結果、米国(アポロ オーノ)が金メダルを獲得することになった審判団の判定について疑問を問い掛ける形を装って添付ファイルを開かせる新しいワームである。Saltlakeは、電子メールおよびインターネットのリレーチャットによって広まっている。

 Saltlakeによって送信された電子メールメッセージには、次の文字が含まれる。

◆Subject:
 You get off the ice and respect the referees decision

◆Message:
 Do you agree with the judge''s decision to disqualify a Korean
skater and award Apolo Ohno the gold medal Wednesday night?

◆Attachment:
 SALTLAKE.jpg.vbs

 感染したVBSファイルを実行されると、Saltlakeはマイクロソフト社のWindowsオペレーティングシステムを攻撃する。このファイルは、WindowsのSystemディレクトリーにSALTLAKE.jpg.vbsとして自己をコピーする。Saltlakeは、Windowsの起動時にこのファイルが実行されるようにWindowsのリジストリを変更する。

 さらに、mIRCディレクトリーにScript.iniがある場合、このファイルが上書きされ、コンピューターでmIRCが実行されるたびにメモリでワームが実行される。ワームおよびmIRCがメモリで実行されると、Saltlakeが同じmIRCチャンネルに接続されているほかのコンピューターに感染したファイルをアップロードする。Windowsのリジストリは、mIRC script.iniの感染を追跡するように変更され、後で再度感染しないようにキーが追加される。

 Saltlakeは、Kが開発したVBS Worms Generatorにより作成されている。

◆別名:
 I-Worm.Lee-Saltlake

◆情報ソース:
・ AVP
http://www.avp.ch/avpve/worms/email/leesalt.stm),
Feb. 25, 2002

◆分析:
(iDEFENSE 米国) Saltlakeは、Kによって作成されたVBS Worms Generatorで生成された簡単なワームである。同じアプリケーションで作成された悪意のあるコードのうち、最もよく知られているのはKournikovaである。
VBS Worms Generatorは、Kournikovaの発見以来多少休止状態に入っており、ほぼ一年広範囲でプログラムによって作成されたワームに対する防止策が採られてきたため、この新しい変形はコンピューターに対して大きな脅威とはならない。ただ、2001年にKournikovaが現れた月と同じ月にこの新しい変形が出現したことは多少特筆に値する(2001年2月13日、ID#102426を参照)。

◆検知方法:
 WindowsのSystemディレクトリーにSALTLAKE.jpg.vbsがあるかどうかを確認する。さらに、Saltlakeが作成したWindowsのリジストリキーを探す。コンピューターに詳しいユーザーは、悪意のあるコードについてscript.iniを確認することも可能である。

◆リカバリー方法:
 Saltlakeに関連するすべての電子メール、ファイル、Windowsのリジストリキーを削除する。クリーンなバックアップコピーを使って、script.iniを復元する。

◆暫定処置:
 VBSタイプの添付ファイルをブロックするように、電子メールサーバーおよびワークステーションを構成する。日常の作業には必要ないWindowsのScriptingHostをコンピューターから削除する。

◆ベンダー情報:
 AVP/Kaspersky Labsのアンチウイルスソフトウェアは、現在この悪意のあるコードに対する駆除が可能である。ほかのアンチウイルスソフトウェアは、経験則に用いて、このコードを発見できる場合がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【22:15 GMT、02、25、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Active Directoryの認証コンポーネントに、管理者権限を窃取される脆弱性(JVN) 画像

Active Directoryの認証コンポーネントに、管理者権限を窃取される脆弱性(JVN)
MobileIron提供の複数のMDM関連製品に脆弱性、パッチ適用を呼びかけ(JPCERT/CC) 画像

MobileIron提供の複数のMDM関連製品に脆弱性、パッチ適用を呼びかけ(JPCERT/CC)
TLS 1.2以前の暗号を解読する「Raccoon Attack」攻撃(JVN) 画像

TLS 1.2以前の暗号を解読する「Raccoon Attack」攻撃(JVN)
10月13日でMicrosoft Office 2010のサポート終了、移行を呼びかけ(IPA) 画像

10月13日でMicrosoft Office 2010のサポート終了、移行を呼びかけ(IPA)
Trend Micro Deep Security および Virtual Patch for Endpoint に複数の脆弱性、対象製品を追加(JVN) 画像

Trend Micro Deep Security および Virtual Patch for Endpoint に複数の脆弱性、対象製品を追加(JVN)
CTKDを用いるBluetooth BR/EDRおよびBLE端末において鍵情報が上書きされる脆弱性(JVN) 画像

CTKDを用いるBluetooth BR/EDRおよびBLE端末において鍵情報が上書きされる脆弱性(JVN)

インシデント・事故 記事一覧へ

「ひでじビールオンラインショップ」に不正アクセス、カード決済停止後も決済情報流出(宮崎ひでじビール) 画像

「ひでじビールオンラインショップ」に不正アクセス、カード決済停止後も決済情報流出(宮崎ひでじビール)
社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事) 画像

社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)
LINEアカウントへ不正ログイン試行、日本が41,204件でTOPに(LINE) 画像

LINEアカウントへ不正ログイン試行、日本が41,204件でTOPに(LINE)
閉鎖済みの「魚匠庵WEBサイト」から3,000件以上のカード情報流出(博多まるきた水産) 画像

閉鎖済みの「魚匠庵WEBサイト」から3,000件以上のカード情報流出(博多まるきた水産)
まさに「おつかれさま」9万件のPDFの次は工事図面の全庁調査実施(新潟県) 画像

まさに「おつかれさま」9万件のPDFの次は工事図面の全庁調査実施(新潟県)
パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹) 画像

パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)

調査・レポート・白書 記事一覧へ

スキャン活動は引き続き活発、すでに2018年の総観測数を突破(NICT) 画像

スキャン活動は引き続き活発、すでに2018年の総観測数を突破(NICT)
わかりやすさ重視、テレワークセキュリティのチェックリスト公開(総務省) 画像

わかりやすさ重視、テレワークセキュリティのチェックリスト公開(総務省)
コロナウイルス関連のサイバー攻撃が急増--四半期レポート(NTTデータ) 画像

コロナウイルス関連のサイバー攻撃が急増--四半期レポート(NTTデータ)
二段階認証は資産関係でニーズが高いものの、2割は「面倒」(フィッシング対策協議会) 画像

二段階認証は資産関係でニーズが高いものの、2割は「面倒」(フィッシング対策協議会)
半導体と医療、制御システムで起こったランサムウェア事案公開(IPA) 画像

半導体と医療、制御システムで起こったランサムウェア事案公開(IPA)
「対策しないとどうなるか」まで記載、IoTガイドラインの解説編を公開(CCDS) 画像

「対策しないとどうなるか」まで記載、IoTガイドラインの解説編を公開(CCDS)

研修・セミナー・カンファレンス 記事一覧へ

フォレンジック調査の「後」を考えるオンラインセミナー開催 (CrowdStrike) 画像

フォレンジック調査の「後」を考えるオンラインセミナー開催 (CrowdStrike)
選挙へのサイバー攻撃:その真の狙い ~ オランダ、ウクライナ、ギリシャの事例から 画像

選挙へのサイバー攻撃:その真の狙い ~ オランダ、ウクライナ、ギリシャの事例から
優勝賞金100万円、Trend Micro CTF予選開催迫る(トレンドマイクロ) 画像

優勝賞金100万円、Trend Micro CTF予選開催迫る(トレンドマイクロ)
AIで自分のクローンを作る方法 画像

AIで自分のクローンを作る方法
中露が展開する世論ハッキング「キルチェーン」概要 画像

中露が展開する世論ハッキング「キルチェーン」概要
川口洋座談会ウェビナー第2回のテーマは「攻撃者目線でのホワイトボックス診断のメリット」(イエラエセキュリティ) 画像

川口洋座談会ウェビナー第2回のテーマは「攻撃者目線でのホワイトボックス診断のメリット」(イエラエセキュリティ)

製品・サービス・業界動向 記事一覧へ

Active Directoryへの脅威を初期段階で検出(S&J) 画像

Active Directoryへの脅威を初期段階で検出(S&J)
開発者がセキュリティの責を負う時代到来か、セキュアコーディングのSaaS型eラーニングサービス開始(Flatt Security) 画像

開発者がセキュリティの責を負う時代到来か、セキュアコーディングのSaaS型eラーニングサービス開始(Flatt Security)
「CYTHEMIS」を国立研究開発法人物質・材料研究機構が導入、研究を効率化(東芝インフラシステムズ) 画像

「CYTHEMIS」を国立研究開発法人物質・材料研究機構が導入、研究を効率化(東芝インフラシステムズ)
NECと提携、コロナ時代のオフィスに向け接触者追跡ソリューションほか提供(ジュニパーネットワークス) 画像

NECと提携、コロナ時代のオフィスに向け接触者追跡ソリューションほか提供(ジュニパーネットワークス)
自殺防止のためのリソースを増強、ハッシュタグでスペシャル絵文字も(Twitter Japan) 画像

自殺防止のためのリソースを増強、ハッシュタグでスペシャル絵文字も(Twitter Japan)
FeliCaの次世代ICチップでなりすまし防止(ソニー、ソニーイメージングプロダクツ&ソリューションズ) 画像

FeliCaの次世代ICチップでなりすまし防止(ソニー、ソニーイメージングプロダクツ&ソリューションズ)

おしらせ 記事一覧へ

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×