Vote.Aワームは、ファイルを削除し、トロイの木馬をダウンロードし、ハードディスクのフォーマット | ScanNetSecurity
2024.04.29(月)

Vote.Aワームは、ファイルを削除し、トロイの木馬をダウンロードし、ハードディスクのフォーマット

概要:
 Vote.Aワームは、電子メールを媒体にして繁殖して、感染するとアンチウイルスソフトの一部をデリートし、トロイの木馬をダウンロードし、ユーザのハードディスクを再フォーマットする。Vote.Aは、電子メールにexe.ファイルとして添付され、プログラムの長さは5

脆弱性と脅威 脅威動向
facebookLINE
概要:
 Vote.Aワームは、電子メールを媒体にして繁殖して、感染するとアンチウイルスソフトの一部をデリートし、トロイの木馬をダウンロードし、ユーザのハードディスクを再フォーマットする。Vote.Aは、電子メールにexe.ファイルとして添付され、プログラムの長さは55,808バイトである。下記が受信時のメッセージ;

 添付ファイルを開けてしまうとマイクロソフト社アウトルックの住所録にあるアドレスに転送され繁殖する仕組みなっている。次のこのウイルスVote.Aは、サイトパスワードを盗むトロイの木馬(TimeUpdate.exe)を us.f1.yahoofs.com からダウンロードし、実行しようとする。ほとんどの主なアンチウイルスソフトはTrojan.Barrioとして検知し警報する。 その後、デフォルトでのインストール中に新たに作成されるフォルダーのユーティリィティ(例:C:Program FilesMcAfeeVirusScan95)の内容を削除に取り掛かる。次にワームは、<Windows folder>aCker.vbs 及び<Windows System folder>MixDaLaL.vbsの二つのファイルを保存する。 更にVote.Aは、コマンドファイルC:¥Autoexec.batの新規作成か、上書きを行い、バッチファイル内にあるecho Y | format C がウインドウズ(95/98/Me及びDOS)の起動時に作動してハードディスクのフォーマットを試みる。

 MixDaLaL.vbsはビジュアル・ベーシック・スクリプト・ファイルでワームによって実行され、コンピュータ内とネットワークドライブの全てのフォルダをスキャンし、HTMLファイルを探す。HTMLファイルを見つけると次のようなメッセージに書き換える;

 ZaCker.vbsもやはりビジュアル・ベーシック・スクリプト・ファイルでコンピュータ起動時に実行されるようにプログラムされている。実行されるとフォルダ内のデータを消去し次のようなメッセージを表示する;


別名: W32.Vote.A@mm

情報ソース:
Trend Micro Inc.
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_VOTE.A
Symantec Corp
http://www.symantec.com/avcenter/venc/data/w32.vote.a@mm.html
Network Associates Inc./McAfee.com
http://vil.nai.com/villib/dispvirus.asp?virus_k=99212
Sept. 24, 2001

分析:
 上記に記載されたメールを受け取った場合はファイルを開けずに即座に削除した上でシステム管理者やヘルプデスクなどに連絡するよう指示をしておく事が重要。このウイルスは破壊力が強く、何回もファイルの書き換え、消去を試みるので注意が必要である。また、転送機能を使って送信も試みるのでネットワークトラフィックが増し、メール送受信に支障をきたす恐れがある。

検知方法:
 ZaCker.vbsかMixDaLaL.vbsの存在はウイルス感染の症候。 また、us.f1.yahoofs.comへアクセスした場合も感染を判断する手掛かりになる。

リカバリー方法:
 最新版のアンチウイルスソフトを導入すればVote.Aワームは検知・削除される。手動で対処する場合はZaCker.vbs及びMixDaLaL.vbsを検索し削除すれば手動でも復旧できる。

暫定処置:
 システム管理者は、ファイアウォールとルーターの設定にWTC.exeをフィルターするようにすればメールからの感染は防げる。また、レジストリエディター(Regedit)内にある次のキーを取り除く事;

HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun
Norton.Thar WindowsSystemaCker.vbs

 C:Autoexec.bat内にあるecho Y | format C:を削除する為にはテキストエディターを使用する。書き換えられたHTMLは全て削除して(殆どのHTMLは書き換えられている可能性が高い、ファイルのサイズは1Kb前後)バックアップからの削除されたファイルや壊れたファイルのリカバリーを行う。

ベンダー情報:
 殆どの会社から出ている最新のアンチウイルスソフトは、Vote.Aワーム及びBarrio Trojan Horseを検知する。

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【1:46 GMT、9月 25、2001】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  4. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  5. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  6. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  7. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

    フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

  8. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  9. NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

    NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

  10. 札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

    札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

ランキングをもっと見る
ホーム 脆弱性と脅威 脅威動向 記事
TOP