【詳細情報】Msvxd.exeとして拡散するDatomワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.24(金)

【詳細情報】Msvxd.exeとして拡散するDatomワーム

国際 海外情報

◆概要:
 Datomは共有ネットワークリソースを介して拡散する新種のネットワーク攻撃型ワームで、msvxd.exe、msvxd16.dll、及びmsvxd32.dllという3つのコンポーネントで構成されている。この.exeコンポーネントを使用して、.dllファイルを読み込む。Datomは、標準のファイル共有媒体を介して送信され、ネットワークを介して自己で拡散する。

 Datomが実行されると利用可能なネットワークリソースを検索し、検知するとリモートコンピューターの接続共有化されているWindowsディレクトリーに自己コピーを作成しようと試みる。Winntから始まり、続いてmsdos.sysのwindirセクションで、共有Windowsディレクトリーを探す。共有Windowsディレクトリーの発見後、リモートコンピューター上に自己コピーを作成し、Windowsの起動時にmsvxd.exeを実行するようにwin.iniを改ざんする。

 この他にも、DatomはZoneAlarmファイアウォールソフトウェアを検索し、発見後、メモリーで強制終了しようとする。感染通知が、拡散前に攻撃者が設定していた2種類の電子メールアドレスに送信される。この送信メールには、占拠したコンピューターの情報が含まれ、攻撃者が対象コンピューターに二次的攻撃を仕掛ける際に使用できると見られる。


◆情報ソース:
・ AVP ( http://www.avp.ch/avpve/worms/win32/datom.stm ), July 08, 2002

◆キーワード:
 Worm: Attack

◆分析:
 (iDEFENSE 米国)Datomを使用して、リモート攻撃者は二次攻撃を仕掛ける際の重要な情報を入手することができる。情報の入手後、ネットワーク上の各コンピューターに対して任意のソフトウェアやデータなどへ追加攻撃を加え、ネットワーク自体への悪用の為に、その情報を利用していると思われる。

◆検知方法:
 Datomの作成した3つのファイルがWindowsディレクトリーにないかどうか、Windows起動時に当該ワームを実行するようwin.iniに変更が加えられていないかどうかをチェックする。

◆リカバリー方法:
 Datomに関連する全ファイル及びWin.ini構文を削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。全通信を監視及び管理するにはファイアウォールを使用し、リモート攻撃者によってインストールされた悪意プログラムを完全削除する。

◆暫定処置:
 全ての新規ファイルを慎重に管理し、経験則を用いる最新アンチウイルスソフトウェアでスキャン後、使用する。ネットワーク上のディレクトリーなどの共有部分を最小限にするだけでなく、パスワードによる保護も設定し、ネットワーク攻撃ワームの感染リスクを抑える。

◆ベンダー情報:
 現在、AVP/Kaspersky Labs 社のアンチウイルスソフトウェアで、この新しい悪意プログラムを防御できる。また、他のアンチウイルスソフトウェアも、経験則を用いてこのDatomを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【16:39 GMT、07、08、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  2. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  3. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  4. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. SMSによる二要素認証が招くSOS(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×