【詳細情報】Antiqfxワームの亜種がネットワークを攻撃 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.12.10(月)

【詳細情報】Antiqfxワームの亜種がネットワークを攻撃

◆概要:  最近になって、Antiqfxネットワーク攻撃型ワームファミリーの新しい亜種が2つ発見されている。AntiqfxワームはC++言語で書かれており、HASPレイヤで保護されている。Antiqfxのサイズは548,752バイトで、一般的に電子メールやネットワーク、リムーバブルメディ

国際 海外情報
◆概要:
 最近になって、Antiqfxネットワーク攻撃型ワームファミリーの新しい亜種が2つ発見されている。AntiqfxワームはC++言語で書かれており、HASPレイヤで保護されている。Antiqfxのサイズは548,752バイトで、一般的に電子メールやネットワーク、リムーバブルメディアやインターネットリレーチャット、その他のファイル共有媒体を介して、マイクロソフトのWindows オペレーティングシステムを実行している他のコンピューターに拡散する。

 実行すると、Antiqfxは自己コピーを「Mscdex.exe」という名前でWindowsディレクトリーに作成しようと試みる。また、AntiqfxはWindowsの起動時に自身を起動するようWindowsレジストリを次のように修正する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Cdrom=C:Windows directorymscdex.exe

HKLMSoftware MicrosoftWindowsCurrentVersionRunServices
Cdrom=C:Windows directorymscdex.exe

HKLMSoftware MicrosoftWindowsCurrentVersionRunOnce
Cdrom=C:Windows directorymscdex.exe

 Antiqfxは変種を作成するため、メモリー内で一度しか実行されない。一旦インストールされると、全てのドライブにあるディレクトリー全体から以下の拡張子を持ったファイルを検索して削除する。

BRU LUT
BTH MAR
CAT POS
GLY QFO
ISP QUE
LSO

 さらに、Antiqfxは以下の各ファイルを含む、特定のファイルも削除しようと試みる。

Aver.ini
Amwin1.dll
Amcc.dll
Avermagic.exe
Amagic.exe
Qfxwin.exe
Qfxwin.ini
Qfxwin1.dll
Qfxcc.dll

 ネットワーク上で拡散するために、Antiqfxはこれら書き込み権限が有効になっている全ユーザーと管理者のリモートスタートアップディレクトリーに自己コピーを作成することによって、ネットワークリソースを一覧する。また、AntiqfxはWindowsの起動時に自身を起動するよう、autoexec.batというファイルも改ざんする。

@echo off
mscdex.exe

◆別名:
 W32.Antiqfx.F.Worm、Antiqfx.F、Antiqfx


◆情報ソース:
・Symantec Corp. (http://www.symantec.com/avcenter/venc/data/w32.antiqfx.f.worm.html) , Nov. 05, 2002
・iDEFENSE Intelligence Operations, Nov. 05, 2002

◆キーワード:
 Worm: Attack

◆分析:
 (iDEFENSE 米国)Antiqfxは大規模なネットワーク攻撃型ワームで、このワームファミリーに関する情報は古いもので1999年12月まで遡る。今回発見された2つの新しい亜種は、現時点ではまだ拡散が確認されてはいない。

◆検知方法:
 当該ワームの作成したMscdex.exeというファイルやautoexec.batファイルへの改ざん、Windowsのレジストリキーがないかどうかをチェックする。また、前述したさまざまなファイルが削除されていないかどうかも確認する必要がある。

◆リカバリー方法:
 Antiqfxに関連しているすべてのファイルとWindowsレジストリキーを削除する。破壊・破損したファイルを、クリーンなバックアップコピーで修復する。

◆暫定処置:
 全ての新規ファイルを慎重に管理し、経験則を用いた最新アンチウイルスソフトウェアでスキャンしてから使用する。

◆ベンダー情報:
 現在、シマンテック社のアンチウイルスソフトウェアでこの新しい悪意のあるプログラムへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【04:44 GMT、11、08、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×