【詳細情報】マクロコードにVBSコンポーネントを隠すCianワーム

◆概要：
　Cianは、電子メール、VBSファイル、インターネットリレーチャット、Microsoft Wordの感染文書を介して拡散する新種のワームである。

　Cianが送信する電子メールの特徴は以下の通り。

Subject is one of the following: Check this out
The File
Readme File

Message is one of the following: Check out these web links,
I know you like these XXX sites! ;)
Hello,
Here is that file that everyone was asking me for.
Don't let anyone else see it, please, because it contains some pretty
naughty XXX stuffs ;)"
Hello,
Read the Readme file for more information on the New Year celebrations
at my house.
Registered Computer Owner Name

The attachment is one of the following (22,420 bytes): SiteLinks.vbs
random characters.vbs
Readme.vbs

　感染添付ファイルが実行されると、Cianはローカルドライブ上に複数の自己コピーを作成しようとする。

・C:WindowssystemMicrosoft32.vbs
・C:WindowssystemJAK.vbs
・C:WINDOWSStart MenuProgramsStartUpNzdmcotc.vbs
・C:Windows empJAK.vbs

　CianはD:ドライブ上にSaved Documentdate.vbsという名前のファイルを作成するが、ファイルの日付は現在の日付となる。また、CianはWindowsのシステムディレクトリーにwinblows32.dllという名前のファイルを作成する。このファイルには、W20002M/Cian.Aとして検出される新種のマクロウイルスのソースコードが格納されている。

　Cianは、Windowsの起動時にワームが実行され、感染がマークされるよう、Windowsのレジストリキーを変更する。

HKCUSoftwareMagician/[#vx irc galaxynet]Magician1.0
RndCopy=Nzdmcotc
@=VBS/Magician by Magician/[#vx irc galaxynet]

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
MSGrc32=Wscript.exe C:Windows System directoryMicrosoft32.vbs %1

HKCUSoftwareMagician[#vx irc galaxynet]Magician1.0Outlook
RecordContacts
Recipient=Email Sent - date

　IRC上で拡散するため、Cianは、ローカルコンピューター上に存在するscript.ini、events.iniファイルを変更する。この結果、ワームはIRCと一緒にメモリーで動作し、感染ユーザーと同じIRCチャネルにいる他のユーザーに自己コピーをアップロードする。

　さらに、マクロウイルスとして拡散するため、CianはMicrosoft Wordのテンプレートファイル、normal.dotに感染する。ワームは、その後開かれる他のWord文書に感染しようとする。この複合型脅威のVBSコンポーネントはマクロコードに内蔵されているため、当該ワームはWord文書またはVBS電子メール添付ファイル、ファイル共有の両方を介して拡散する。

◆別名：
　Cian, Worm/Cian, I-Worm.Cian, W20002M/Cian.A, VBS/Grouch, Grouch

◆情報ソース：
・Central Command Inc. ( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=021230-000020 ), Dec. 27, 2002
・iDEFENSE Intelligence Operations, Jan. 03, 2003

◆キーワード：
　Virus: Macro Virus: Script
　Worm: E mail Worm: Online messaging

◆分析：
　（iDEFENSE米国）Cianは、Microsoft Word文書、従来の電子メールワームのチャネル、VBSファイルとして拡散するよう設計されている。当該ワームは、ワーム全体を拡散するマクロウイルスコンポーネントを内蔵しているため、企業の電子メールフィルター、アンチウイルス対策を回避してしまう可能性が高い。ただし、当該記事の掲載時点では、Cianは実環境には存在しないと考えられている。

　また、当該プログラムは、同様に電子メール、DOCファイル、P2Pファイル共有ネットワークを介して拡散する、rRLFグループが作成したVBS/Grouchという名前のプログラムに関連している可能性がある。また、報告によれば、当該ワームには、Windows XP上で実行される破壊力の強いペイロードが組み込まれている。

◆検知方法：
　ワームが作成する複数のファイル、normal.dotテンプレートファイルに新しいマクロがないか確認する。また、P2P共有ディレクトリーにワームが作成した可能性のあるファイルがないか確認する。

◆リカバリー方法：
　この悪意のあるプログラムの脅威に関連する全ファイル、Windowsのレジストリキーの変更、悪意のあるマクロを削除する。破壊・破損したファイルをクリーンなバックアップコピーで修復する。ワームが上書きした可能性のあるscript.iniを始めとするファイルを修復する。

◆暫定処置：
　一般的に悪意のあるプログラムが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

　通常のオペレーションではWSH（Windows Scripting Host）が不要な場合、それをコンピューターから削除する。WSHが必要なコンピューターでは、VBSファイルの自動実行を防ぐため、VBSをスクリプトエディターに関連づけるか、または関連づけを完全に削除する。

　全てのファイル転送をブロックするよう、インスタントメッセージングアプリケーションを構成する。可能な限りP2Pソフトウェアの使用を避ける。

◆ベンダー情報：
　この新しい悪意のあるプログラムに対応可能なアップデートシグニチャファイルは、近日中に各アンチウイルスベンダーから発表される予定である。また、アンチウイルスアプリケーションによっては、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【20:18 GMT、01、05、2002】