【詳細情報】NieberワームがBernie.vbsを作成 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

【詳細情報】NieberワームがBernie.vbsを作成

国際 海外情報

◆概要:
 Nieberは、大量メール送信ルーチンを実行する新しいVisual Basic Script(VBS)型のワームである。Nieberのサイズは5,652バイトで、一般的に電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャット、その他の媒体によって他のコンピューターに拡散する。

 Nieberが実行されると、WindowsのSystemディレクトリーに Nieberのコピーがbernie.vbsとして作成される。また、Windowsの起動時にこのファイルを実行し、大量メール送信が一度完了したことを記録するために、Windowsのリジストリが変更される。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Bernie=wscript.exe System DirectoryBernie.vbs %

HKCUsoftwareBernie
Mailed="1"

 その後、NieberはWindowsのアドレス帳(WAB)にある全アドレスに対してHTML形式の電子メールを送信しようとする。さらに、すべてのローカルおよびマップされているドライブで.vbe及び.vbsファイルを探し、これらファイルが見つかった場合は同ワームのコピーでファイルを上書きする。また Nieberは複数のメモ帳インスタンスを開き、利用できるリソースを使い果たそうとするため、サービス拒否(DoS)攻撃も仕掛けているものと思われる。また、Nieberは、Internet Explorerのスタートページを http://membres.lycos.fr/aoteam/mange.com に変更する。

◆別名:
 VBS_NIEBER.A、NIEBER.A、Bernie、Nieber


◆情報ソース:
 Trend Micro Inc. (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=VBS_NIEBER.A&VSect=T), July 30, 2002
 iDEFENSE Intelligence Operations, July 30, 2002

◆キーワード:
 Worm: E mail

◆分析:
 (iDEFENSE 米国) Nieberによって送信されるHTML形式の電子メールの特徴は判明していない。電子メールは、上述のような悪意のあるウェブサイトへのハイパーリンクや、埋め込まれた悪意のあるファイルを含んでいる可能性が高い。

 Nieberに関連した悪意のあるウェブサイト及びmange.comファイルは、まだダウンロードが可能である。Mange.comには、Windowsディレクトリーにある.comおよび.exe拡張子を持つ全ファイルを削除する方法が含まれている。尚、.comファイル内のテキストを大まかにフランス語から英語に翻訳すると Bernie Eats(Bernieは食べる)となるが、これは同ワームのファイル削除ルーチンを意味しているものと思われる。

◆検知方法:
 上述のような電子メールの存在、NieberによってWindowsのSystemsディレクトリーに作成されたbernie.vbs、及び Nieberによって作成されたWindowsのリジストリキーを探す。また、Internet Explorerおよびmange.comへの変更を探す。

◆リカバリー方法:
 Nieberに関連する全てのファイルとWindowsのリジストリキーを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。さらに、クリーンなバックアップコピーで.vbe及び.vbsファイルを修復する。また、mange.comが実行されてしまった場合は、オペレーティングシステム及び関連ファイルの再インストールが必要となる場合がある。

◆暫定処置:
 一般的に悪意のあるコードが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。また、すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

 通常のオペレーションでWSH(Windows Scripting Host)が不要な場合、それをコンピューターから削除する。WSHが必要なコンピューターでは、VBSファイルの自動実行を防ぐため、VBSをスクリプトエディターに関連づけるか、または関連づけを完全に削除する。

◆ベンダー情報:
 現在、トレンドマイクロ社のアンチウイルスソフトウェアで、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのNieberを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【14:27 GMT、08、01、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. SMSによる二要素認証が招くSOS(The Register)

    SMSによる二要素認証が招くSOS(The Register)

  4. フィッシング詐欺支援サービスの価格表(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  7. Mac OS X のシングルユーザモードの root アクセス(2)

  8. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  9. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×