◆概要: Brigada Ocho (B8) は、中国のウイルス作成者またはグループが作成したと言われるvbsgen.exeツールを公開した。この新型ツールは、主要アンチウイルスソフトウェアを使った検知はできない。攻撃者がVisual Basic Script (VBS) ワームの作成に利用するものである。 Vbsgenを実行すると、中国語の文字の入った小さいウィンドウと、2つの電子メールアドレスが表示される。その後攻撃者は、このプログラムを使って、ファイル名、自動スタートオプションや多種類のペイロードなど、.vbs のさまざまなオプションを設定することができる。ペイロードには、タスクバーやデスクトップの非表示といった、多数のローカル設定の変更が含まれる。また、ペイロードのひとつには、上海で運営されているウェブサイトをポイントするデフォルトデータが含まれている。 vbsgenが作成するワームには、Microsoft Outlookを使った大量電子メール送信型ルーチン用の暗号化データが含まれている。この電子メール送信ルーチンで使用する添付ファイルの名前は、攻撃者が簡単に変更できる。現在のところ、最新のアンチウイルスソフトウェアを利用しても、このツールと、これに関連した悪意のあるファイルを検知することはできない。興味深いことに、このツールは、ワームの作成と同時に、ワームの削除に利用する .reg ファイルも作成する。 ,br/> vbsgenを使って作成したサンプルワームのソースコード、及びこのワーム専用の削除用ファイルのソースコードをiDEFENSE LABSより提供。(必要な方、及び詳細はsales@idefense.co.jpまで)別名:Vbsgen◆情報ソース:・iDEFENSE Intelligence Operations, Sept. 24, 2002◆キーワード: Worm constructors Malicious code author Chinese hackers China◆分析: (iDEFENSE 米国) このワームと共に作成される削除用スクリプトは、悪意のあるコードの作成者が、コンピューター上で実行されたワームを削除しやすくするために追加している可能性がある。ユーザーは、このスクリプトを利用して、vbsgenツールが作成するワームのテストを簡単に実行できるかもしれない。◆検知方法: .vbsなどの不審な添付ファイルを含む電子メールに注意する。 また、デスクトップが正常に表示されない場合なども、ワームに感染している可能性がある。◆リカバリー方法: vbsgenに関連する全てのファイル、Windowsリジストリキーと変更を削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。◆暫定処置: 一般的に悪意のあるプログラムが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう、電子メールサーバーとワークステーションを設定する。全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。 通常のオペレーションでWSH(Windows Scripting Host)が不要な場合、これをコンピューターから削除する。WSHが必要なコンピューターでは、VBSファイルの自動実行を防ぐため、VBSをスクリプトエディターに関連づけるか、関連づけを完全に削除する。◆ベンダー情報: 経験則を用いるアンチウイルスソフトウェアで、このvbsgenを検知できる可能性がある。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです。 【15:37 GMT、09、27、2002】
