【詳細情報】BATファイルを上書きするWithout.Cワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.07.17(火)

【詳細情報】BATファイルを上書きするWithout.Cワーム

国際 海外情報

◆概要:
 Without.Cは大量メール送信型ワームで、自身をMicrosoft Outlookのアドレス帳の全記載連絡先に送信する。

 Without.Cのプロセスが送信する電子メールの内容は以下のとおり。

Subject: Hi!!
Message: Hi! Guck dir mal das kranke Bild an! ;-)
Attachment: Without.bat (1,285 bytes)

 この悪意のある添付ファイルの実行後、Without.Cは自己コピーをWinstart.batファイルとしてMicrosoft Windowsオペレーティングシステムを実行するコンピューター上のスタートアップディレクトリーに作成する。又、当該ワームは、自己コピーをWithout.batファイルとしてC:に作成する。A:、D:、E:が媒体として存在する場合、Without.Cはこれらの場所にも自己コピーを作成する。

 Without.CはC:上にsend.vbsファイルを作成して実行する。又、当該ワームは大量メール送信ルーチンを実行するため、悪意のある電子メールをMicrosoft Outlookアドレス帳に記載される全アドレスに送りつける。当該ワームは、カレントディレクトリーの親ディレクトリー内及びカレントパス上の他のディレクトリー内の全BATファイル、そしてA:、C:、D:、及びE:上のBATファイルを上書きしようと試みる。

別名:
Without.C, BAT.Without.C@mm, Without


◆情報ソース:
・Symantec Corp. (http://www.symantec.com/avcenter/venc/data/w32.hllp.ipamor.html) , Oct. 04, 2002
・iDEFENSE Intelligence Operations, Oct. 04, 2002

◆キーワード:
 Trojan: Batch Trojan: Nuker
 Worm: E mail Incident: Malicious code

◆分析:
 (iDEFENSE US) この電子メールの内容から、当該ウイルスは英語圏のターゲットユーザーではなく、ドイツ語圏ユーザーに拡散する可能性が高い。

◆検知方法:
 Without.Cが作成したsend.vbsファイルやWithout.batファイルの存在を確認する。更に電子メール内に前述の情報が記載されていないか探す。サイズが1,285バイトの疑わしいファイルが存在しないかも確認する。

◆リカバリー方法:
 Without.Cに関連する全ファイルを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。

◆暫定処置:
 一般的に悪意のあるプログラムが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。全ての新規ファイルを慎重に管理し、経験則を用いる最新アンチウイルスソフトウェアでスキャン後、使用する。

◆ベンダー情報:
 現在、シマンテック社のアンチウイルスソフトウェアで、この新しい悪意のあるプログラムへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【18:37 GMT、10、06、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×