◆概要: 最近になって、Antiqfxネットワーク攻撃型ワームファミリーの新しい亜種が2つ発見されている。AntiqfxワームはC++言語で書かれており、HASPレイヤで保護されている。Antiqfxのサイズは548,752バイトで、一般的に電子メールやネットワーク、リムーバブルメディアやインターネットリレーチャット、その他のファイル共有媒体を介して、マイクロソフトのWindows オペレーティングシステムを実行している他のコンピューターに拡散する。 実行すると、Antiqfxは自己コピーを「Mscdex.exe」という名前でWindowsディレクトリーに作成しようと試みる。また、AntiqfxはWindowsの起動時に自身を起動するようWindowsレジストリを次のように修正する。HKLMSoftwareMicrosoftWindowsCurrentVersionRunCdrom=C:Windows directorymscdex.exeHKLMSoftware MicrosoftWindowsCurrentVersionRunServicesCdrom=C:Windows directorymscdex.exeHKLMSoftware MicrosoftWindowsCurrentVersionRunOnceCdrom=C:Windows directorymscdex.exe Antiqfxは変種を作成するため、メモリー内で一度しか実行されない。一旦インストールされると、全てのドライブにあるディレクトリー全体から以下の拡張子を持ったファイルを検索して削除する。BRU LUTBTH MARCAT POSGLY QFOISP QUELSO さらに、Antiqfxは以下の各ファイルを含む、特定のファイルも削除しようと試みる。Aver.iniAmwin1.dllAmcc.dllAvermagic.exeAmagic.exeQfxwin.exeQfxwin.iniQfxwin1.dllQfxcc.dll ネットワーク上で拡散するために、Antiqfxはこれら書き込み権限が有効になっている全ユーザーと管理者のリモートスタートアップディレクトリーに自己コピーを作成することによって、ネットワークリソースを一覧する。また、AntiqfxはWindowsの起動時に自身を起動するよう、autoexec.batというファイルも改ざんする。@echo offmscdex.exe◆別名: W32.Antiqfx.F.Worm、Antiqfx.F、Antiqfx◆情報ソース:・Symantec Corp. (http://www.symantec.com/avcenter/venc/data/w32.antiqfx.f.worm.html) , Nov. 05, 2002・iDEFENSE Intelligence Operations, Nov. 05, 2002◆キーワード: Worm: Attack◆分析: (iDEFENSE 米国)Antiqfxは大規模なネットワーク攻撃型ワームで、このワームファミリーに関する情報は古いもので1999年12月まで遡る。今回発見された2つの新しい亜種は、現時点ではまだ拡散が確認されてはいない。◆検知方法: 当該ワームの作成したMscdex.exeというファイルやautoexec.batファイルへの改ざん、Windowsのレジストリキーがないかどうかをチェックする。また、前述したさまざまなファイルが削除されていないかどうかも確認する必要がある。◆リカバリー方法: Antiqfxに関連しているすべてのファイルとWindowsレジストリキーを削除する。破壊・破損したファイルを、クリーンなバックアップコピーで修復する。◆暫定処置: 全ての新規ファイルを慎重に管理し、経験則を用いた最新アンチウイルスソフトウェアでスキャンしてから使用する。◆ベンダー情報: 現在、シマンテック社のアンチウイルスソフトウェアでこの新しい悪意のあるプログラムへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです。 【04:44 GMT、11、08、2002】
