Leeワームの新亜種が発見される | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.22(火)

Leeワームの新亜種が発見される

国際 海外情報

◆概要:
 大量メール送信型ワームLeeの新亜種「Lee.D」が発見された。Lee.Dは、マイクロソフト社のInternet Explorerのスタートアップページを成人向けウェブサイトに変更する。

 Lee.Dが送信する電子メールは日本語テキストを含み、次のような特徴で表示される。

件名:
konnichiwa (こんにちは)

本文:
konnichiwakono syashin mite ne!!!!!!(こんにちは この写真見てね)

添付ファイル:
SYASHIN2.JPG.VBS (3,106 bytes)


 感染ファイルが実行されると、Lee.Dは自身をSYASHIN2.JPG.VBSとしてWindowsディレクトリーにコピーする。次にこのワームは、マイクロソフト社のOutlookのアドレス帳に格納されるすべてのアドレスに対して大量メール送信ルーチンを実行する。またLee.Dはインターネットリメ[チャット(IRC)を介しての増殖を試み、この場合、mIRCが存在するコンピューターを使用する他のIRCユーザーにファイルを転送する方法がとられる。
 Lee.Dは、Script.iniファイルを、mIRCの実行時にワームをメモリーで実行する悪意のあるScript.iniファイルで上書きすることで増殖を行う。

 Lee.Dは、Windowsリジストリーの以下の場所に変更を加える。

HKLMSoftwareMicrosoftWindowsCurrentVersionProgramFilesDir

 そして最終的に、Internet Explorerスタートアップページが
http://it.geocities.com/windows2it/index.htm に変更される。このサイトには大人向けのコンテンツが含まれるほか、類似のコンテンツへのリンクでコンピューターを絶えずアップデートするActive-Xコントロールが含まれる。

◆別名:
VBS/Anjulie.gen@MM, I-Worm.Lee-Based, Bloodhound.VBS.Worm, Anjulie, Lee,Lee.D, VBS_LEE.D, IRC_LEE.D

◆情報ソース:
・ Trend Micro Inc.
(http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_LEE.D),March 25, 2002・ iDEFENSE Intelligence Operations, March 26, 2002

◆分析:
 (iDEFENSE 米国) 現在Leeの複数の亜種が拡散していることが確認されており、ソースコードも容易にアンダーグランドから入手可能(ID# 105868, Oct. 15, 2001)。Lee.Dは、成人向けコンテンツを利用する悪意のあるコードと同種になる。

◆検知方法:
 電子メール、Windowsディレクトリー内のSYASHIN2.JPG.VBSファイル、そしてこのワームが作成したWindowsリジストリーキーの存在を確認する。

◆リカバリー方法:
 Lee.Dに関連するすべてのファイルおよびWindowsリジストリーキーを削除し、壊れたまたは破損したファイルを感染されていないバックアップコピーから復元する。
 Internet Explorerのホームページ設定を元の構成に戻す。

◆暫定処置:
 この悪意のあるコードが他のコンピューターに拡散させ、頻繁に使用するためにファイルの種類をブロックするように電子メールサーバーとワークステーションを構成する。新しいファイルを使用する前に、アップデートされたアンチウイルスソフトウェアで経験則を用いて走査b驍ネど、すべての新しいファイルを注意深く管理する。

 Visual Basicスクリプトファイルをスクリプトエディターに関連づけるか、関連づけを完全に削除することで自動実行を回避する。通常の稼動にWindowsスクリプティングホスト(WSH)を必要としないコンピューターからWSHを削除する。以下の手順に従って、マイクロソフト社のオyレーティングシステム上でのVBSファイル実行を停止する。

Windows 95とWindows NTでは、VBSファイルの関連づけを削除する:

1. [マイコンピュータ]で、[表示]をクリックしてドロップダウンメニューから[オプション]または[フォルダオプション]を選択する。
2. [ファイルタイプ]タブで、[VBScripスクリプトファイル]のエントリを選択して削除する。
3. 確認を促されたら[はい]をクリックする。

Windows 98では、WSHを削除する:

1. [スタート]メニューから、[設定]を選択し、[コントロールパネル]をクリックする。
2. [アプリケーションの追加と削除]を選択する。
3. [Windowsファイル]タブで、[アクセサリ]を選択する。
4. [アクセサリ]のウィンドウで[Windowsスクリプティングホスト]オプションをオフにする。
5. [OK]をクリックして、[Windowsスクリプティングホスト]を無効にする。6. [適用]をクリックする。

Windows 2000では、VBSファイルの関連づけを削除する:

1. [マイコンピュータ]で、[ツール]をクリックして[フォルダオプション]を選択する。
4. [ファイルの種類]タブで、[VBScriptスクリプトファイル]を選択する。
3. [削除]をクリックする。
5. 確認を促されたら[はい]をクリックする。

ベンダー情報:
 トレンドマイクロ社のアンチウイルスソフトウェアが、現在この新しい悪意あるコードに対応可能。その他のアンチウイルスソフトウェアも、経験則を用いてこの悪意あるコードを検知できる場合がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【21:47 GMT、03、26、2002】
 アイディフェンス社の iAlert サービスは下記のURLより
 お申込みいただけます。
http://shop.vagabond.co.jp/p-alt01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  2. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  3. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  9. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×