【詳細情報】Neiberワームの拡散が加速中 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.20(日)

【詳細情報】Neiberワームの拡散が加速中

国際 海外情報

<編集部よりお詫び>
本ページ内にあるURLが、ワームの存在するページへとリンクしておりました。ワームの説明状必要なURLではありますが、ハイパーリンクを解除するなどの配慮が足りず、ユーザーの皆様を感染の危険にさらしてしまいました。
本件について、心よりお詫び申しあげます。
今後、このようなことを起こさぬよう、細心の注意を払い記事の取り扱ってまいります。

2003.12.01 Scan編集部


◆概要:
 Neiberは大量メール送信型ワームで、Microsoft Outlookのアドレス帳にある全てのアドレスに悪意のある電子メールを送信する (ID# 110873, Aug. 1, 2002)。 Neiberが送信する電子メールの特徴は、以下の通り。

Subject: Attention virus
Message: Appears blank but contains the HTML source code for the worm


 Neiberに添付ファイルは含まれていないが、HTML形式の電子メール (5,652バイト) の本文に悪意のあるコードが埋め込まれている。Nieberを実行すると、このワームがWindows Systemディレクトリーにbernie.vbs という自己コピーを作成する。また、Windowsリジストリを以下のように変更して、Windows起動時にこのファイルを実行し、大量メールの送信完了をマークする。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Bernie=wscript.exe System DirectoryBernie.vbs %

HKCUsoftwareBernie
Mailed="1"

 続いてNieberは、Windows Address Book (WAB) にある全てのアドレスに対し、HTML形式の電子メールの送信を試みる。また、全てのローカルドライブとマッピングされたドライブ上で.vbe ファイルと .vbsファイルを検索し、検出されたファイルをワームのコピーで上書きする。さらに、多数のNotepadを開いてあからさまなサービス拒否 (DoS) 攻撃を実行し、リソースを使い果たすほか、Internet Explorerのホームページとして使用するページを http://members.lycos.fr/aoteam/mange.com に変更する。
(上記URLの示すページにはワームが存在するため、ハイパーリンクをきっております。ご注意ください)


◆情報ソース:
・Trend Micro Inc. ( http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=VBS_NIEBER.A&VSect=T ), July 30, 2002
・iDEFENSE Intelligence Operations, July 30, 2002
・Symantec Corp. (http://www.symantec.com/avcenter/venc/data/vbs.neiber.a@mm.html), Aug. 08, 2002
・iDEFENSE Intelligence Operations, Aug. 09, 2002

◆キーワード:
 Worm: E mail

◆分析:
 (iDEFENSE 米国) Neiberの拡散は現在加速中であり、シマンテック社ではこのワームの危険度をレベル2として評価している。Nieber に関連した悪意のあるウェブサイトとmange.com ファイルは現在も公開されており、ダウンロードが可能である。mange.com には、Windowsディレクトリー内の .com および .exe拡張子の付いた全ファイルを削除する命令が含まれている。.com ファイルに含まれるフランス語のテキストは、英語で「Bernie Eats」を意味するもので、ファイル削除ルーチンに関連していると推測される。

◆検知方法:
 前述の電子メールと、NieberがWindows Systemディレクトリーに作成するbernie.vbsに注意し、このワームが作成するWindowsリジストリキーを探す。また、Internet Explorer の変更とmange.com にも注意する。

◆リカバリー方法:
 Nieberに関連する全てのファイルとWindowsリジストリキーを削除し、.vbe ファイルと .vbs ファイルを含む破壊・破損したファイルをクリーンなバックアップコピーで修復する。 mange.comが実行された場合は、オペレーティングシステムと関連ファイルの再インストールが必要になる可能性もある。

◆暫定処置:
 一般的に悪意のあるコードが他のコンピューターへの感染に用いる種類のファイルをブロックするよう、電子メールサーバーとワークステーションを設定する。全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。電子メールソフトウェアを設定して、読み取り可能な電子メールをテキスト形式のメールに限定し、HTML電子メールの脆弱性の悪用を防止する。

 通常のオペレーションでWSH(Windows Scripting Host)が不要な場合、これをコンピューターから削除する。WSHが必要なコンピューターでは、VBSファイルの自動実行を防ぐため、VBSをスクリプトエディターに関連づけるか、関連づけを完全に削除する。

◆ベンダー情報:
 現在、複数のアンチウイルスソフトウェアで、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのNeiberを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【18:33 GMT、08、09、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  2. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  3. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. ソフトバンクが 1 億ドル出資し Cybereason の筆頭株主に ~ セキュリティのユニコーン誕生(The Register)

  9. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  10. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×