【詳細情報】Msvxd.exeとして拡散するDatomワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.22(金)

【詳細情報】Msvxd.exeとして拡散するDatomワーム

国際 海外情報

◆概要:
 Datomは共有ネットワークリソースを介して拡散する新種のネットワーク攻撃型ワームで、msvxd.exe、msvxd16.dll、及びmsvxd32.dllという3つのコンポーネントで構成されている。この.exeコンポーネントを使用して、.dllファイルを読み込む。Datomは、標準のファイル共有媒体を介して送信され、ネットワークを介して自己で拡散する。

 Datomが実行されると利用可能なネットワークリソースを検索し、検知するとリモートコンピューターの接続共有化されているWindowsディレクトリーに自己コピーを作成しようと試みる。Winntから始まり、続いてmsdos.sysのwindirセクションで、共有Windowsディレクトリーを探す。共有Windowsディレクトリーの発見後、リモートコンピューター上に自己コピーを作成し、Windowsの起動時にmsvxd.exeを実行するようにwin.iniを改ざんする。

 この他にも、DatomはZoneAlarmファイアウォールソフトウェアを検索し、発見後、メモリーで強制終了しようとする。感染通知が、拡散前に攻撃者が設定していた2種類の電子メールアドレスに送信される。この送信メールには、占拠したコンピューターの情報が含まれ、攻撃者が対象コンピューターに二次的攻撃を仕掛ける際に使用できると見られる。


◆情報ソース:
・ AVP ( http://www.avp.ch/avpve/worms/win32/datom.stm ), July 08, 2002

◆キーワード:
 Worm: Attack

◆分析:
 (iDEFENSE 米国)Datomを使用して、リモート攻撃者は二次攻撃を仕掛ける際の重要な情報を入手することができる。情報の入手後、ネットワーク上の各コンピューターに対して任意のソフトウェアやデータなどへ追加攻撃を加え、ネットワーク自体への悪用の為に、その情報を利用していると思われる。

◆検知方法:
 Datomの作成した3つのファイルがWindowsディレクトリーにないかどうか、Windows起動時に当該ワームを実行するようwin.iniに変更が加えられていないかどうかをチェックする。

◆リカバリー方法:
 Datomに関連する全ファイル及びWin.ini構文を削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。全通信を監視及び管理するにはファイアウォールを使用し、リモート攻撃者によってインストールされた悪意プログラムを完全削除する。

◆暫定処置:
 全ての新規ファイルを慎重に管理し、経験則を用いる最新アンチウイルスソフトウェアでスキャン後、使用する。ネットワーク上のディレクトリーなどの共有部分を最小限にするだけでなく、パスワードによる保護も設定し、ネットワーク攻撃ワームの感染リスクを抑える。

◆ベンダー情報:
 現在、AVP/Kaspersky Labs 社のアンチウイルスソフトウェアで、この新しい悪意プログラムを防御できる。また、他のアンチウイルスソフトウェアも、経験則を用いてこのDatomを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【16:39 GMT、07、08、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

    Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  2. 豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

    豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

  3. フィッシング詐欺支援サービスの価格表(The Register)

    フィッシング詐欺支援サービスの価格表(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  6. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  7. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  8. 「ゴリラズ・アプリ」の暗号解読で求人の一次審査を免除(英ジャガー・ランドローバー)

  9. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  10. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×