【詳細情報】複数のメディアを介して拡散するTang | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.21(火)

【詳細情報】複数のメディアを介して拡散するTang

国際 海外情報

◆概要:
 新しいワームであるTangは、複数の方法で拡散するが、当該記事の掲載時点で実環境で拡散している事実は認められていない。ワームは、マクロ、ピアツーピア(P2P)、インスタントメッセージ、ファイル感染ウイルスとしてMicrosoft WindowsのOSを搭載しているコンピュータに拡散する。又、ファイルを上書きする破壊コンポーネントも含まれている。

 Tangは、Windowsアドレス帳(WAB)にある全アドレスに不正な電子メールを送信する。Tangによって送信される電子メールは一定していないが、以下に一例を示す。

Subject: Mp3 sites
Message: Hello,

Try this new software that can download practically any .mp3 file that is found on the internet. I use this program all the time and I think it's great!

Have fun!
Attachment: MP3CONNECT.EXE (21,504 to 90,112 bytes)

 不正な添付ファイルが実行されると、TangがWindows内のローカルドライブ、C:ドライブ、Windowsのシステムディレクトリに以下のファイル名を使って自身のコピーを複数格納する。

・cdinst32.exe
・dostng32.pif
・keymapp32.exe
・license.exe
・mscabdrv.exe
・msdnssrv.exe
・msnetwrk32.exe
・msostart32.exe o msregmc32.exe
・msscndsk.exe
・mstng32.exe
・mstngmgr32.ocx
・mwintype.exe
・netwc32.exe
・notice.tng
・omserv32.exe o re-inst32.scr
・unicode32.scr
・unitxt32.exe
・wincmndr.exe
・windns32.xe
・winlnkmgr.exe
・wncnet32.exe
・wnetcon32.exe

 Tangは、以下の文字列を使ってすべてのローカルドライブにある全BATファイルへの感染も試みる。

@if exist C:WINDOWSSYSTEMMSTng32.exe @win C:WINDOWSSYSTEMMSTng32.exe

 Tangは、広範囲に渡ってデータファイルを検索して削除し、削除したファイル名とEXE拡張子を使って自身のコピーを削除したファイルが存在していた場所に格納する。

 ワームは、Microsoft Wordのテンプレートファイルnormal.dotに感染し、マクロウイルスとして感染する。又、IRC及びPirchを介して拡散する。さらに、共有P2Pディレクトリに自身のコピーを格納することにより、P2Pワームとしても拡散する。Tangは、Windowsの起動時にワームが実行されるように、Mstng32 keyを使ってWindowsのレジストリを書き換える。

◆別名:
 Worm/Tang、Tang、I-Worm.Tanger、W32/Gant@MM


◆情報ソース:
・Network Associates Inc./McAfee.com ( http://vil.nai.com/vil/content/v_100067.htm ), Feb. 18, 2003
・Panda Software ( http://www.pandasoftware.com/virus_info/encyclopedia/details.aspx?idvirus=38736 ) , Feb. 18, 2003
・Central Command Inc. ( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=030218-000012 ) , Feb. 18, 2003
・iDEFENSE Intelligence Operations, Feb. 17, 2003

◆キーワード:
 Trojan: Nuker Virus: File infecting
 Virus: Macro Worm: E mail
 Worm: Online messaging Worm: Script
 Worm: Other

◆分析:
 (iDEFENSE US) Tangは、rRlfグループのメンバーであるZedによって作成された。当該記事の掲載時点に実環境では見つかっていない。このワームが実行するデータのランダム化に関する詳細は、当該記事に記載されている情報ソースで入手可能。

◆検知方法:
 電子メール及びワームによって作成される多くのファイルを探す。

◆リカバリー方法:
 この不正プログラムに関連する全ファイルとWindowsのレジストリキーを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。

◆暫定処置:
 一般的に不正プログラムが他のコンピュータに拡散する際に用いる種類のファイルをブロックするようメールサーバとワークステーションを設定する。新しいファイルはすべて慎重に取り扱い、最新アンチウイルスソフトでスキャンした後、使用する。

◆ベンダー情報:
 この不正プログラムに対応する最新のワクチン定義ファイルが、いくつかのアンチウイルスベンダーからリリースされるか、またはアンチウイルスアプリケーションによっては、不正プログラムを検知するものもあると思われる。
尚、国内のベンダー情報に関しては下記を参照。
W32/Gant@MM 亜種 I-Worm.Tanger (AVP): W32.HLLW.Tang@mm (NAV)
( http://www.nai.com/japan/virusinfo/virG.asp?v=W32/Gant@MM )


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【04:12 GMT、02、19、2003】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  2. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  3. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  4. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. SMSによる二要素認証が招くSOS(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×