Markerマクロウィルスの変種がまた発見される | ScanNetSecurity
2021.10.26(火)

Markerマクロウィルスの変種がまた発見される

◆概要:  Markerマクロウィルスファミリーの他の変種が、また発見された。Sophos PlcによってMarker.AKと呼ばれるこの新しい変種は、オリジナルのMarkerとほとんど同じである。Sophos Plcによれば、新しい変種は悪意のあるペイロードを含んでおらず、複製する以外には

国際 海外情報
◆概要:
 Markerマクロウィルスファミリーの他の変種が、また発見された。Sophos PlcによってMarker.AKと呼ばれるこの新しい変種は、オリジナルのMarkerとほとんど同じである。Sophos Plcによれば、新しい変種は悪意のあるペイロードを含んでおらず、複製する以外には特に機能は持たないという。Marker.AKは、マイクロソフトの Wordドキュメントに感染し、電子メール、ファイル共有ネットワーク、フロッピーディスク、IRC等のファイル共有メディアによって他のコンピューターに感染する。

◆別名:
 WM97/Marker-AK, Marker.AK, Marker

◆情報ソース:
・Sophos Plc.
( http://www.sophos.com/virusinfo/analyses/wm97markerak.html ), May 24, 2002 iDEFENSE Intelligence Operations, May 24, 2002

◆分析:
 (iDEFENSE 米国) Marker.Aは、ユーザアドレスとコンピューター名のログを取り続け、それをマクロコードの最終行にコメントする。また、感染が生じるごとに、この情報が更新される。Marker.CのようなMarkerファミリーのいくつかの変種は、CodeBreakersのウェブサイト(現在利用不可能)へFTPによって重要な情報を転送しようと試みる。Marker.AKは、そのような情報を転送しないようだが、前述の様に、マクロコードの末尾に重要な情報を付加する。

◆検知方法:
 マイクロソフトの Wordドキュメントに加えられた新しいマクロを検索し、前述の様に悪意のあるコードや重要なデータが含まれていないかどうかチェックする。

◆リカバリー方法:
 Marker.AKに関連した悪意のあるマクロをすべて削除して、クリーンなバックアップコピーを使い、破壊されたり損傷したファイルを復旧する。また、マイクロソフトのWordドキュメントの再感染を回避するために、normal.dotがクリーンな事を確認する。悪意のあるマクロの実行を防止するため、マイクロソフト Wordのセキュリティ設定を「高」にする。

◆暫定処置:
 前述の通り、悪意のあるマクロの実行を防止するため、マイクロソフト Wordのセキュリティ設定を「高」にする。また、新しいマイクロソフトの Wordドキュメント上で手動のスキャンを実行した後に、新しいファイルを開く。もしファイルが怪しい場合は、悪意のあるマクロをサポートしないノートパッド(メモ帳)で開き、テキストをチェックし、悪意のあるコードが隠されている手掛かりを調査する。

◆ベンダー情報:
 Sophos Plcのアンチウイルスソフトウェアは、現在この新しい悪意のあるコードを検出できる。また、他のアンチウイルスソフトウェアも、この悪意のあるコードを経験則を用いて検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【17:53 GMT、05、26、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/8~11/30迄 創刊23周年記念価格提供中★★
★★10/8~11/30迄 創刊23周年記念価格提供中★★

2021年10月8日(金)~11月30日(火) の間 ScanNetSecurity 創刊23周年記念価格で提供。

×