【詳細情報】マクロコードにVBSコンポーネントを隠すCianワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.22(火)

【詳細情報】マクロコードにVBSコンポーネントを隠すCianワーム

国際 海外情報

◆概要:
 Cianは、電子メール、VBSファイル、インターネットリレーチャット、Microsoft Wordの感染文書を介して拡散する新種のワームである。

 Cianが送信する電子メールの特徴は以下の通り。

Subject is one of the following: Check this out
The File
Readme File

Message is one of the following: Check out these web links,
I know you like these XXX sites! ;)
Hello,
Here is that file that everyone was asking me for.
Don't let anyone else see it, please, because it contains some pretty
naughty XXX stuffs ;)"
Hello,
Read the Readme file for more information on the New Year celebrations
at my house.
Registered Computer Owner Name

The attachment is one of the following (22,420 bytes): SiteLinks.vbs
random characters.vbs
Readme.vbs

 感染添付ファイルが実行されると、Cianはローカルドライブ上に複数の自己コピーを作成しようとする。

・C:WindowssystemMicrosoft32.vbs
・C:WindowssystemJAK.vbs
・C:WINDOWSStart MenuProgramsStartUpNzdmcotc.vbs
・C:Windows empJAK.vbs

 CianはD:ドライブ上にSaved Documentdate.vbsという名前のファイルを作成するが、ファイルの日付は現在の日付となる。また、CianはWindowsのシステムディレクトリーにwinblows32.dllという名前のファイルを作成する。このファイルには、W20002M/Cian.Aとして検出される新種のマクロウイルスのソースコードが格納されている。

 Cianは、Windowsの起動時にワームが実行され、感染がマークされるよう、Windowsのレジストリキーを変更する。

HKCUSoftwareMagician/[#vx irc galaxynet]Magician1.0
RndCopy=Nzdmcotc
@=VBS/Magician by Magician/[#vx irc galaxynet]

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
MSGrc32=Wscript.exe C:Windows System directoryMicrosoft32.vbs %1

HKCUSoftwareMagician[#vx irc galaxynet]Magician1.0Outlook
RecordContacts
Recipient=Email Sent - date

 IRC上で拡散するため、Cianは、ローカルコンピューター上に存在するscript.ini、events.iniファイルを変更する。この結果、ワームはIRCと一緒にメモリーで動作し、感染ユーザーと同じIRCチャネルにいる他のユーザーに自己コピーをアップロードする。

 さらに、マクロウイルスとして拡散するため、CianはMicrosoft Wordのテンプレートファイル、normal.dotに感染する。ワームは、その後開かれる他のWord文書に感染しようとする。この複合型脅威のVBSコンポーネントはマクロコードに内蔵されているため、当該ワームはWord文書またはVBS電子メール添付ファイル、ファイル共有の両方を介して拡散する。

◆別名:
 Cian, Worm/Cian, I-Worm.Cian, W20002M/Cian.A, VBS/Grouch, Grouch


◆情報ソース:
・Central Command Inc. ( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=021230-000020 ), Dec. 27, 2002
・iDEFENSE Intelligence Operations, Jan. 03, 2003

◆キーワード:
 Virus: Macro Virus: Script
 Worm: E mail Worm: Online messaging

◆分析:
 (iDEFENSE米国)Cianは、Microsoft Word文書、従来の電子メールワームのチャネル、VBSファイルとして拡散するよう設計されている。当該ワームは、ワーム全体を拡散するマクロウイルスコンポーネントを内蔵しているため、企業の電子メールフィルター、アンチウイルス対策を回避してしまう可能性が高い。ただし、当該記事の掲載時点では、Cianは実環境には存在しないと考えられている。

 また、当該プログラムは、同様に電子メール、DOCファイル、P2Pファイル共有ネットワークを介して拡散する、rRLFグループが作成したVBS/Grouchという名前のプログラムに関連している可能性がある。また、報告によれば、当該ワームには、Windows XP上で実行される破壊力の強いペイロードが組み込まれている。

◆検知方法:
 ワームが作成する複数のファイル、normal.dotテンプレートファイルに新しいマクロがないか確認する。また、P2P共有ディレクトリーにワームが作成した可能性のあるファイルがないか確認する。

◆リカバリー方法:
 この悪意のあるプログラムの脅威に関連する全ファイル、Windowsのレジストリキーの変更、悪意のあるマクロを削除する。破壊・破損したファイルをクリーンなバックアップコピーで修復する。ワームが上書きした可能性のあるscript.iniを始めとするファイルを修復する。

◆暫定処置:
 一般的に悪意のあるプログラムが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

 通常のオペレーションではWSH(Windows Scripting Host)が不要な場合、それをコンピューターから削除する。WSHが必要なコンピューターでは、VBSファイルの自動実行を防ぐため、VBSをスクリプトエディターに関連づけるか、または関連づけを完全に削除する。

 全てのファイル転送をブロックするよう、インスタントメッセージングアプリケーションを構成する。可能な限りP2Pソフトウェアの使用を避ける。

◆ベンダー情報:
 この新しい悪意のあるプログラムに対応可能なアップデートシグニチャファイルは、近日中に各アンチウイルスベンダーから発表される予定である。また、アンチウイルスアプリケーションによっては、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【20:18 GMT、01、05、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  2. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  3. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  9. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×