【詳細情報】大きな破壊力を持つKingpdtワームが発見される | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.04.22(日)

【詳細情報】大きな破壊力を持つKingpdtワームが発見される

国際 海外情報

◆概要:
 大きな破壊力を持つKingpdtワームは、電子メール、インターネットリレーチャット、及びピアツーピアのネットワークを介して、Microsoft WindowsのOSを搭載するローカルコンピュータ上でスクリプトベースのワームとして拡散する。

 Kingpdtが送りつける電子メールは無作為化されているが、下記のいずれか1つの特徴を持つ。

Subject: Are you fit to be King?
Message: Are you fit to be King? Read this file to find out :)
Attachment: Urvey.vbs (11,793 bytes)

Subject: Sent File
Message: Hello,
Here is the file you asked for yesterday
Attachment: file1.vbs (11,793 bytes)

Subject: Wanted File
Message: Hello Readers,
This is the file that a lot op people have been asking for I will only send this file once so please don't ask for this file again
Attachment: Important.vbs (11,793 bytes)

Subject: The Sample
Message: Here is that sample that you asked for.
Please email me back and tell me what you think :)
Attachment: Sample.vbs (11,793 bytes)

 不正添付ファイルが実行されると、Kingpdtは下記のような複数のファイルを作成する。

・C:WindowsFile1.vbs
・C:WindowsInstmgr.vbs
・C:WindowsMsinet32.vbs
・C:WindowsOcxmgr32.vbs
・C:WindowsSystemCabFldr32.cbs
・C:WindowsSystemMSUpdt32.vbs
・C:WindowsSystemSetupmgr.vbs
・C:WindowsSystemWsrvc32.vbs
・C:WindowsSystemWunstC32.vbs
・C:WindowsTempFile1.vbs
・C:WindowsWinnet.vbs
・D:Install.vbs
・D:Unistall.vbs
・E:Install.vbs
・E:Unistall.vbs

 KingpdtはIRC上で拡散するように、script.iniファイル及びevents.iniファイルを上書きする。これにより、ワームがIRCまたはPirchと共にメモリ内で実行されるため、自身のコピーを感染ユーザと同じチャネルにいる他のユーザにアップロードできてしまう。

 Kingpdtはまた、複数のファイルの拡張子を変更することで、攻撃したファイルの元のファイル名を持つ自身のコピーを作成する。特に狙われるファイルの種類は、AVI、DIR、MOV、MP2、MP3、MPE、MPEG、MPG、JPG、JPEG、JPE、GIF、PNG、TIF、TIFF、PIC、ART、URLである。このようなファイルが見つかると、ファイルの拡張子がVBSに変更される。全てのVBEファイル及びVBSファイルはこのワームによって上書きされる。共有ディレクトリLimeWire、Morpheus、eDonkey 2000、KaZaA、ICQ、C:My Music及びC:My DocumentsMy Musicをはじめとする共有P2Pディレクトリ内の全てのアーカイブもまたこのワームによって上書きされる。

 Kingpdtは、Windows起動時にこのワームが実行され、その感染が通知されるよう、以下のようにWindowsレジストリを書き換える。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
MSUpdt32=wscript.exe System MSUpdT32.vbs %1

HKCUSoftwareed/[rRlf]VBS/1stKing
@="VBS/1stKing by Zed/[rRlf]"

 Kingpdtはまた、Microsoft Outlookアドレス帳にある全ての連絡先に対して、少しずつ大量メール送信を実行する。

◆別名:
 Kingpdt, VBS/Kingpdt, Worm/Caser, Caser, 1stKing


◆情報ソース:
・Panda Software ( http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=38826 ) , Feb. 20, 2003
・Central Command Inc. ( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=030220-000017 ) , Feb. 20, 2003
・iDEFENSE Intelligence Operations, Feb. 19, 2003

◆キーワード:
 Worm: E mail Worm: Online messaging
 Worm: Script

◆分析:
 (iDEFENSE US) Kingpdtは、rRlfグループに属する活発な不正プログラム作成者であるZedによって新たに作成されたワームである。このワームは当該記事の掲載時点では一般に拡散していないが、アンダーグランドのサイトから自由にダウンロードできる。

◆検知方法:
 WindowsのシステムディレクトリにMSUpdT32.vbsがないか、そしてこのトロイの木馬によって作成されたWindowsレジストリキーがないかを調べる。

◆リカバリー方法:
 この不正プログラムに関連する全ファイルとWindowsのレジストリキーの変更を削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。ファイアウォールを用いて、全通信を監視・管理し、リモート攻撃者がインストールした可能性のある全ての不正プログラムの削除を確認する。全てのパスワードを変更し、攻撃に対するコンピュータのセキュリティを強化する。アンチウイルスおよびセキュリティ関連の全てのソフトウェアの機能を検証する。

◆暫定処置:
 新しいファイルはすべて慎重に取り扱い、最新アンチウイルスソフトでスキャンした後、使用する。不正プログラムを隠し持つと考えられる種類の添付ファイルをブロックする。ファイアウォール等を使用しすべての通信を監視・管理する。ファイアウォールを用いて、全通信を監視・管理する。通常の動作では不要なWSH(Windows Scripting Host)をコンピュータから削除する。

◆ベンダー情報:
 この不正プログラムに対応する最新のワクチン定義ファイルが、いくつかのアンチウイルスベンダーからリリースされるか、またはアンチウイルスアプリケーションによっては、不正プログラムを検知するものもあると思われる。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【12:32 GMT、02、21、2003】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×