【詳細情報】Fosforoウイルスが7月12日にハングアプリケーションを設定

◆概要：
　Fosforoは、ウイルス検出をより混乱させるEPO（Entry Point Obscurity）技術の新種のファイル感染型ウイルスである。Fosforoの亜種には、特定した年の7月12日に実行する感染ハングアプリケーションの日付指定ペイロードを含む。

国際海外情報

2002年7月19日（金） 12時00分

◆概要：
　Fosforoは、ウイルス検出をより混乱させるEPO（Entry Point Obscurity）技術の新種のファイル感染型ウイルスである。Fosforoの亜種には、特定した年の7月12日に実行する感染ハングアプリケーションの日付指定ペイロードを含む。

　Fosforoはサイズが7kバイトで、現在のディレクトリーの殆どの簡易実行可能（PE）ファイルに感染する。通常、このウイルスは、電子メール、ファイル共有ネットワーク、フロッピーディスク、IRCなどのファイル共有媒体を介して他のコンピューターに拡散する。

　Fosforoに感染したファイルの実行後、APIの呼び出しは自己コード呼び出しに置換される。さらに、現在のディレクトリーでPEファイルを検索し、そのファイルの終わりに自己を追加させる。この処理には、強度が中程度の暗号化とウイルスのリバースエンジニアリングを防止するスタックオーバーフローを発生させるアンチデバッグトリックを使用する。また、FosforoはWindowsおよびWindowsSystemディレクトリーにあるPFファイルにも感染する。Fosforoは、明らかに人気のあるアンチウイルスプログラムへの感染を防止するため、「V」が最初や2番目の文字になっているファイルや、「F」で始まるファイル名の物には感染しない。

　Fosforoに感染後、ファイルは破損し、正常機能しなくなる場合がある。マイナーなファミリーの亜種 Fosofor.Bでは複数のバグが修正され、一回に数ファイルずつ感染するように設計されている。これは、Fosforo.Aに比べ少ないリソースを使用し、遅い拡散のため、検出がより困難である。尚、Fosforoに感染したファイルは、Fosforo.A及びFosforo.Bに存在するバグのため、実行時にメモリーエラーを表示する可能性がある。

◆別名：
　Win32.Fosforo.A、Win32.Fosforo.B、Win32.Fosforo.A/B、Fosforo

◆情報ソース：
・ BitDefender Inc. ( http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=91 ), July 10, 2002

◆キーワード：
　Virus: File infecting

◆分析：
　(iDEFENSE 米国) BitDefender社では、Fosforoが2002年7月初旬に一般への拡散を開始したと報告している。特定した年の7月12日に感染アプリケーションのハングが設定されており、近日Fosoforoの感染症状が出現してくる可能性がある。

◆検知方法：
　7kバイトサイズ増えたPEファイルを探す。7月12日にアプリケーションが実行され、複数のメモリーエラーメッセージが表示され、複数のハングが発生する場合は、感染を示している可能性が高い。

◆リカバリー方法：
　Fosforoに関する全ファイルを削除し、破壊、破損したファイルをクリーンなバックアップコピーで修復する。

◆暫定処置：
　全ての新規ファイルを慎重に管理し、経験則を用いる最新アンチウイルスソフトウェアでスキャン後、使用する。このような悪意プログラムへの対策支援となるCRCソフトウェアを導入する。

◆ベンダー情報：
　現在、BitDefender社のアンチウイルスソフトウェアは、この悪意プログラムへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのFosforoを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【14:03 GMT、07、11、2002】

《ScanNetSecurity》