Leeワームの新亜種が発見される | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

Leeワームの新亜種が発見される

国際 海外情報

◆概要:
 大量メール送信型ワームLeeの新亜種「Lee.D」が発見された。Lee.Dは、マイクロソフト社のInternet Explorerのスタートアップページを成人向けウェブサイトに変更する。

 Lee.Dが送信する電子メールは日本語テキストを含み、次のような特徴で表示される。

件名:
konnichiwa (こんにちは)

本文:
konnichiwakono syashin mite ne!!!!!!(こんにちは この写真見てね)

添付ファイル:
SYASHIN2.JPG.VBS (3,106 bytes)


 感染ファイルが実行されると、Lee.Dは自身をSYASHIN2.JPG.VBSとしてWindowsディレクトリーにコピーする。次にこのワームは、マイクロソフト社のOutlookのアドレス帳に格納されるすべてのアドレスに対して大量メール送信ルーチンを実行する。またLee.Dはインターネットリメ[チャット(IRC)を介しての増殖を試み、この場合、mIRCが存在するコンピューターを使用する他のIRCユーザーにファイルを転送する方法がとられる。
 Lee.Dは、Script.iniファイルを、mIRCの実行時にワームをメモリーで実行する悪意のあるScript.iniファイルで上書きすることで増殖を行う。

 Lee.Dは、Windowsリジストリーの以下の場所に変更を加える。

HKLMSoftwareMicrosoftWindowsCurrentVersionProgramFilesDir

 そして最終的に、Internet Explorerスタートアップページが
http://it.geocities.com/windows2it/index.htm に変更される。このサイトには大人向けのコンテンツが含まれるほか、類似のコンテンツへのリンクでコンピューターを絶えずアップデートするActive-Xコントロールが含まれる。

◆別名:
VBS/Anjulie.gen@MM, I-Worm.Lee-Based, Bloodhound.VBS.Worm, Anjulie, Lee,Lee.D, VBS_LEE.D, IRC_LEE.D

◆情報ソース:
・ Trend Micro Inc.
(http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_LEE.D),March 25, 2002・ iDEFENSE Intelligence Operations, March 26, 2002

◆分析:
 (iDEFENSE 米国) 現在Leeの複数の亜種が拡散していることが確認されており、ソースコードも容易にアンダーグランドから入手可能(ID# 105868, Oct. 15, 2001)。Lee.Dは、成人向けコンテンツを利用する悪意のあるコードと同種になる。

◆検知方法:
 電子メール、Windowsディレクトリー内のSYASHIN2.JPG.VBSファイル、そしてこのワームが作成したWindowsリジストリーキーの存在を確認する。

◆リカバリー方法:
 Lee.Dに関連するすべてのファイルおよびWindowsリジストリーキーを削除し、壊れたまたは破損したファイルを感染されていないバックアップコピーから復元する。
 Internet Explorerのホームページ設定を元の構成に戻す。

◆暫定処置:
 この悪意のあるコードが他のコンピューターに拡散させ、頻繁に使用するためにファイルの種類をブロックするように電子メールサーバーとワークステーションを構成する。新しいファイルを使用する前に、アップデートされたアンチウイルスソフトウェアで経験則を用いて走査b驍ネど、すべての新しいファイルを注意深く管理する。

 Visual Basicスクリプトファイルをスクリプトエディターに関連づけるか、関連づけを完全に削除することで自動実行を回避する。通常の稼動にWindowsスクリプティングホスト(WSH)を必要としないコンピューターからWSHを削除する。以下の手順に従って、マイクロソフト社のオyレーティングシステム上でのVBSファイル実行を停止する。

Windows 95とWindows NTでは、VBSファイルの関連づけを削除する:

1. [マイコンピュータ]で、[表示]をクリックしてドロップダウンメニューから[オプション]または[フォルダオプション]を選択する。
2. [ファイルタイプ]タブで、[VBScripスクリプトファイル]のエントリを選択して削除する。
3. 確認を促されたら[はい]をクリックする。

Windows 98では、WSHを削除する:

1. [スタート]メニューから、[設定]を選択し、[コントロールパネル]をクリックする。
2. [アプリケーションの追加と削除]を選択する。
3. [Windowsファイル]タブで、[アクセサリ]を選択する。
4. [アクセサリ]のウィンドウで[Windowsスクリプティングホスト]オプションをオフにする。
5. [OK]をクリックして、[Windowsスクリプティングホスト]を無効にする。6. [適用]をクリックする。

Windows 2000では、VBSファイルの関連づけを削除する:

1. [マイコンピュータ]で、[ツール]をクリックして[フォルダオプション]を選択する。
4. [ファイルの種類]タブで、[VBScriptスクリプトファイル]を選択する。
3. [削除]をクリックする。
5. 確認を促されたら[はい]をクリックする。

ベンダー情報:
 トレンドマイクロ社のアンチウイルスソフトウェアが、現在この新しい悪意あるコードに対応可能。その他のアンチウイルスソフトウェアも、経験則を用いてこの悪意あるコードを検知できる場合がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【21:47 GMT、03、26、2002】
 アイディフェンス社の iAlert サービスは下記のURLより
 お申込みいただけます。
http://shop.vagabond.co.jp/p-alt01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  4. SMSによる二要素認証が招くSOS(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. フィッシング詐欺支援サービスの価格表(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. 「過激派の」Tails や Tor を使っている? おめでとう、あなたは NSA のリストに載っている~Linux 情報サイトの読者や、プライバシーに関心を持つネット市民が標的にされているとの報告(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×