【詳細情報】マクロコードにVBSコンポーネントを隠すCianワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.24(火)

【詳細情報】マクロコードにVBSコンポーネントを隠すCianワーム

国際 海外情報

◆概要:
 Cianは、電子メール、VBSファイル、インターネットリレーチャット、Microsoft Wordの感染文書を介して拡散する新種のワームである。

 Cianが送信する電子メールの特徴は以下の通り。

Subject is one of the following: Check this out
The File
Readme File

Message is one of the following: Check out these web links,
I know you like these XXX sites! ;)
Hello,
Here is that file that everyone was asking me for.
Don't let anyone else see it, please, because it contains some pretty
naughty XXX stuffs ;)"
Hello,
Read the Readme file for more information on the New Year celebrations
at my house.
Registered Computer Owner Name

The attachment is one of the following (22,420 bytes): SiteLinks.vbs
random characters.vbs
Readme.vbs

 感染添付ファイルが実行されると、Cianはローカルドライブ上に複数の自己コピーを作成しようとする。

・C:WindowssystemMicrosoft32.vbs
・C:WindowssystemJAK.vbs
・C:WINDOWSStart MenuProgramsStartUpNzdmcotc.vbs
・C:Windows empJAK.vbs

 CianはD:ドライブ上にSaved Documentdate.vbsという名前のファイルを作成するが、ファイルの日付は現在の日付となる。また、CianはWindowsのシステムディレクトリーにwinblows32.dllという名前のファイルを作成する。このファイルには、W20002M/Cian.Aとして検出される新種のマクロウイルスのソースコードが格納されている。

 Cianは、Windowsの起動時にワームが実行され、感染がマークされるよう、Windowsのレジストリキーを変更する。

HKCUSoftwareMagician/[#vx irc galaxynet]Magician1.0
RndCopy=Nzdmcotc
@=VBS/Magician by Magician/[#vx irc galaxynet]

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
MSGrc32=Wscript.exe C:Windows System directoryMicrosoft32.vbs %1

HKCUSoftwareMagician[#vx irc galaxynet]Magician1.0Outlook
RecordContacts
Recipient=Email Sent - date

 IRC上で拡散するため、Cianは、ローカルコンピューター上に存在するscript.ini、events.iniファイルを変更する。この結果、ワームはIRCと一緒にメモリーで動作し、感染ユーザーと同じIRCチャネルにいる他のユーザーに自己コピーをアップロードする。

 さらに、マクロウイルスとして拡散するため、CianはMicrosoft Wordのテンプレートファイル、normal.dotに感染する。ワームは、その後開かれる他のWord文書に感染しようとする。この複合型脅威のVBSコンポーネントはマクロコードに内蔵されているため、当該ワームはWord文書またはVBS電子メール添付ファイル、ファイル共有の両方を介して拡散する。

◆別名:
 Cian, Worm/Cian, I-Worm.Cian, W20002M/Cian.A, VBS/Grouch, Grouch


◆情報ソース:
・Central Command Inc. ( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=021230-000020 ), Dec. 27, 2002
・iDEFENSE Intelligence Operations, Jan. 03, 2003

◆キーワード:
 Virus: Macro Virus: Script
 Worm: E mail Worm: Online messaging

◆分析:
 (iDEFENSE米国)Cianは、Microsoft Word文書、従来の電子メールワームのチャネル、VBSファイルとして拡散するよう設計されている。当該ワームは、ワーム全体を拡散するマクロウイルスコンポーネントを内蔵しているため、企業の電子メールフィルター、アンチウイルス対策を回避してしまう可能性が高い。ただし、当該記事の掲載時点では、Cianは実環境には存在しないと考えられている。

 また、当該プログラムは、同様に電子メール、DOCファイル、P2Pファイル共有ネットワークを介して拡散する、rRLFグループが作成したVBS/Grouchという名前のプログラムに関連している可能性がある。また、報告によれば、当該ワームには、Windows XP上で実行される破壊力の強いペイロードが組み込まれている。

◆検知方法:
 ワームが作成する複数のファイル、normal.dotテンプレートファイルに新しいマクロがないか確認する。また、P2P共有ディレクトリーにワームが作成した可能性のあるファイルがないか確認する。

◆リカバリー方法:
 この悪意のあるプログラムの脅威に関連する全ファイル、Windowsのレジストリキーの変更、悪意のあるマクロを削除する。破壊・破損したファイルをクリーンなバックアップコピーで修復する。ワームが上書きした可能性のあるscript.iniを始めとするファイルを修復する。

◆暫定処置:
 一般的に悪意のあるプログラムが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

 通常のオペレーションではWSH(Windows Scripting Host)が不要な場合、それをコンピューターから削除する。WSHが必要なコンピューターでは、VBSファイルの自動実行を防ぐため、VBSをスクリプトエディターに関連づけるか、または関連づけを完全に削除する。

 全てのファイル転送をブロックするよう、インスタントメッセージングアプリケーションを構成する。可能な限りP2Pソフトウェアの使用を避ける。

◆ベンダー情報:
 この新しい悪意のあるプログラムに対応可能なアップデートシグニチャファイルは、近日中に各アンチウイルスベンダーから発表される予定である。また、アンチウイルスアプリケーションによっては、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【20:18 GMT、01、05、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  3. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  4. SMSによる二要素認証が招くSOS(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. フィッシング詐欺支援サービスの価格表(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×