Magistrの亜種「Magistr.B」への各社対応状況 | ScanNetSecurity
2024.04.29(月)

Magistrの亜種「Magistr.B」への各社対応状況

 本年3月に発生して以来、現在もなお感染を広げているウイルス「Magistr.A」の亜種である「Magistr.B」が発生し、アンチウイルスベンダやIPAが警告を発している。

脆弱性と脅威 脅威動向
 本年3月に発生して以来、現在もなお感染を広げているウイルス「Magistr.A」の亜種である「Magistr.B」が発生し、アンチウイルスベンダやIPAが警告を発している。

 このウイルスは感染後に以下の活動をおこなう。
・全てのローカルドライブ、ネットワークドライブ、共有フォルダから、「WinNT」「Windows」「Win95」「Win98」「WinME」「Win2000」「Win2K」「WinXP」というディレクトリを検索し、ディレクトリ内のPE形式のファイルへと自身のウイルスコードを追加する。
・OutlookExpress、NetscapeMessenger、Eudoraのアドレス帳に登録されているアドレス全てに対して自身のコピーを添付して送信する。その際のサブジェクトや本文はランダムな文字列。
・System.iniファイルにあるBootセクション内のExplorer.exeの内容を、PCの起動時にウイルス自身が起動するように改変する。
・拡張子が.ntzのファイルを全て削除する。
・アプリケーション、システムレベルのデバッガソフトが存在、もしくはNTICE、SICEという名前のディレクトリが存在した場合システムをハングアップさせる。
・ファイアウォールソフトである「ZoneAlarm」を強制終了させる。
・起動ドライブのルートディレクトリに「NTLDR」「WIN.COM」が存在する場合、これら2つのファイルを再起動時にハードディスク内の全てのデータが破壊されるように改変する。

 アンチウイルスベンダ各社の対応を下記にまとめる。


▼トレンドマイクロ

 パターンファイル934以降で対応。検出されたファイルすべてを削除。レジストリに追加された値の削除、改変されたシステムファイルの記述を修正。削除、修正の方法は以下のウイルス詳細のURLを参照。

ウイルス詳細:
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=PE_MAGISTR.B
パターンファイルダウンロードサイト:
http://www.trendmicro.co.jp/support/index.htm

▼シマンテック

 9月4日付の定義ファイルで対応。検出されたファイル全てを削除。レジストリに追加された値の削除、改変されたシステムファイルの記述を修正。削除、修正の方法は以下のウイルス詳細のURLを参照。

ウイルス詳細:
http://www.symantec.com/region/jp/sarcj/data/w/w32.magistr.39921@mm.html
定義ファイルダウンロードサイト:
http://www.symantec.com/region/jp/sarcj/defs.download.html

▼日本ネットワークアソシエイツ

 DATファイル4158、検索エンジン4.0.70以降で対応。

ウイルス詳細:
http://www.nai.com/japan/virusinfo/virM.asp?v=W32/Magistr.b@MM&a=M
DATファイルダウンロードサイト:
http://www.nai.com/japan/download/download.asp

▼日本エフ・セキュア

ウイルス詳細:
http://www.f-secure.com/v-descs/magistr.shtml
パターンファイルダウンロードサイト:
http://www.F-Secure.com/download-purchase/updates.shtml

▼シー・エス・イー

 最新のideファイル(magistrb.ide)で対応。なお、最新のバー所PN3.49以前では、.BATの拡張子に対応していないので検索拡張子のリストに.BATを追加するようにとのこと。

ウイルス詳細:
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/w32magistrb.htm
ideファイルダウンロードサイト:
http://www.cseltd.co.jp/security/sav/downloads/ide/ide.htm

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. 編集長対談:世界で最も安全なバグバウンティ、クラウドソーシングでサイバー攻撃に競争原理を ~ Synack 三好 一久

    編集長対談:世界で最も安全なバグバウンティ、クラウドソーシングでサイバー攻撃に競争原理を ~ Synack 三好 一久PR

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  7. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  8. TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

    TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

  9. 札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

    札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

  10. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

ランキングをもっと見る