Windowsファイルの削除を試みるワーム「MyLife」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

Windowsファイルの削除を試みるワーム「MyLife」

国際 海外情報

◆概要:
 MyLifeは新しい大量送信型ワームで、多様なWindowsの必須システムファイルを削除するように設計されている。MyLifeによって送信された電子メールには、以下のメッセージを表示する。

◆件名:
 my life ohhhhhhhhhhhhh

◆メッセージ:
 Hiiiii
 How are youuuuuuuu?
 look to the digital picture it's my lovevvvery verrrry ffffunny:-) my life = my car my car = my house

◆添付ファイル:
 MyLife.scr(30,720 bytes)

 MyLife添付ファイルは、UPXで圧縮されたPE(ポータブル実行可能)ファイルである。感染した添付ファイルを実行すると、MyLifeが次のような画像を表示する。


 MyLifeは、Windowsのシステムディレクトリーに自身をMy Life.scrとしてコピーする。その後、大量送信型ルーチンを実行し、マイクロソフトのOutlookアドレス帳にある全アドレスに対して感染した電子メールを送信する。

 Windowsの起動時にMyLifeを実行するように、Windowsのリジストリが次のように変更される。

HKCUSoftwareMicrosoftWindowsCurrentVersionRunstmgr=C:Windows DirectorySystemMyLife.scr


 MyLifeがいったんWindowsの起動時に実行された場合は、大量送信型ワームの送信やMy Life画像の表示は行われない。ネットワークアソシエーツ社/マカフィー社によると、My Lifeは悪意のあるペイロードを実行するように設計されているが、同社のラボ環境ではこの実行は失敗に終わっている。MyLifeは、感染したコンピューターにある次のシステムファイルを削除するように設計されている。

・ C:*.com*
・ C:*.sys*
・ C:Windows Directory*.com*
・ C:Windows Directory*.exe*
・ C:Windows Directory*.ini*
・ C:Windows Directory*.sys*
・ C:Windows DirectorySystem*.dll*
・ C:Windows DirectorySystem*.exe*
・ C:Windows DirectorySystem*.sys*
・ C:Windows DirectorySystem*.vxd*

 2002年3月7日の早朝にメッセージラボ社によって香港からのMyLifeが捕獲された。さらに、英国からの2つのコピーが同社によって阻止されている。AVIENのレポートによると、MyLifeのコピーの1つは、非常に大規模なコンピューター企業から送信されており、一般のコンピューターに対して急速に広がる恐れがあるとしている。

◆別名:
 W32/MyLife.A-mm、WORM_MYLIFE.A、MYLIFE.A、MYLIFE、 I-Worm.Mylife、MyLife

◆情報ソース:
・ F-Secure Corp.
http://www.f-secure.com/v-descs/mylife.shtml ),March 07,2002
・MessageLabs Corp.
http://www.messagelabs.com/viruseye/toptrump.asp?wi=W32/MyLife.A-mm ), March07, 2002
・ Network Associates Inc./McAfee.com
http://vil.nai.com/vil/content/v_99381.htm ), March 07, 2002
・ Trend Micro Inc.
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYLIFE.A ), March 07, 2002
・ AVIEN ( http://www.avien.org/ ), March 07,2002

◆分析:
 (iDEFENSE 米国) MyLifeは2002年3月7日の早朝から拡散している。この日の感染は比較的スローペースだったが、米国のビジネスが活動し始めると急速に広がる可能性がある。MyLifeは強力な誘発メッセージを表示せず、ランダム化もされていない。さらに、重要なWindowsファイルを削除するように設計されている悪意のあるコードの実行も失敗に終わっている。このため、大企業ではMyLifeを手早くブロックでき、ホームユーザーも長期間、このワームをブロックできると見ている。

◆検知方法:
 このワームに感染すると、このレポートに説明されている画像が表示される。前述のような電子メール、およびWindowsディレクトリーでMy Life.scrを探す。コンピューターに詳しいユーザーは、MyLifeによって作成されたWindowsのリジストリキーを探すことができる。

◆リカバリー方法:
 MyLifeによって作成されたすべての電子メール、コピーされたファイル、Windowsのレジストリキーを削除する。削除されたファイルは、クリーンなバックアップコピーから復元し、必要に応じて再インストールを実行する。

◆暫定処置:
 .SCR添付ファイルをブロックするように、電子メールサーバーおよびワークステーションを構成する。MyLifeを一時的にブロックするには、この日までに判明しているMyLife.scrという添付ファイルをブロックするようにサーバーを構成する。

◆ベンダー情報:
 複数のアンチウイルスソフトウェアを使って、現在この悪意のあるコードに対する駆除を行うことができる。ほかのアンチウイルスソフトウェアは、経験則に基づいて、このコードを発見できる場合がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【14:26 GMT、03、07、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  7. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  8. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  9. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×