◆概要: Bewayは、セキュリティソフトウェアを使用不可にし、SubSevenトロイの木馬のダウンロードを試みるトロイの木馬である。Bewayのサイズは6Kで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャット、そしてその他のファイル共有媒体を介して拡散する。 Bewayが実行されると、Windowsディレクトリー内でvprot32.exeを探す。ファイルが見つからないと、このファイルを作成しWindows起動時にこのファイルが実行されるようWindowsディレクトリーに以下のような変更を加える。HKLMMicrosoftWindowsCurrentVersionRunVirusProt32=C:Windows Directoryvprot32.exe 次にBewayは、自身をサービスプロセスとして登録する。また、navapsvcプロセスがメモリーに存在する場合は、このプロセスを終了させようと試みる場合もある。さらにこのトロイの木馬は、メモリーに存在する100以上のその他の異なるプロセスの終了を試みる。これらのプログラムのほとんどは、アンチウイルスまたはセキュリティ関連のものである。次にBewayは、バックドア型トロイの木馬Subsevenをダウンロードしようと試みる。◆情報ソース: Symantec Corp. (http://www.symantec.com/avcenter/venc/data/trojan.beway.html), July 25, 2002 iDEFENSE Intelligence Operations, July 25, 2002◆キーワード: Trojan: Nuker◆分析: (iDEFENSE 米国) Bewayによって終了させられるnavapsvcは、シマンテック社のNorton AntiVirusのプロセスである。その他の多くのプロセスも、Subseven攻撃できるようコンピューターを準備する目的で終了させられる。◆検知方法: Windowsディレクトリー内のvprot32.exe、そして当該トロイの木馬が作成したWindowsリジストリキーを探す。また、Subsevenに関連するファイル、および変更された箇所がないかを探す。◆リカバリー方法: Bewayに関連する全てのファイルとWindowsリジストリキーを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。すべてのソフトウェア、特に該当トロイの木馬がターゲットにするアンチウイルスそしてセキュリティ関連のアプリケーションの機能を検証する。ファイアウォールを使用してすべての通信を監視および管理し、リモート攻撃者がインストールした可能性のあるすべての悪意のあるコードが完全に取り除かれたことを確認する。◆暫定処置: すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。ファイアウォールを使用してすべての通信を監視および管理する。◆ベンダー情報: 現在、シマンテック社のアンチウイルスソフトウェアで、この新しい悪意のあるコードへの対応が可能である。その他のアンチウイルスソフトウェアも、経験則を用いてこのBewayを検知できる可能性がある。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです。 【20:47 GMT、07、28、2002】
