Vote.Aワームは、ファイルを削除し、トロイの木馬をダウンロードし、ハードディスクのフォーマット | ScanNetSecurity
2026.05.03(日)

Vote.Aワームは、ファイルを削除し、トロイの木馬をダウンロードし、ハードディスクのフォーマット

概要:
 Vote.Aワームは、電子メールを媒体にして繁殖して、感染するとアンチウイルスソフトの一部をデリートし、トロイの木馬をダウンロードし、ユーザのハードディスクを再フォーマットする。Vote.Aは、電子メールにexe.ファイルとして添付され、プログラムの長さは5

脆弱性と脅威 脅威動向
11 views
facebookLINE
概要:
 Vote.Aワームは、電子メールを媒体にして繁殖して、感染するとアンチウイルスソフトの一部をデリートし、トロイの木馬をダウンロードし、ユーザのハードディスクを再フォーマットする。Vote.Aは、電子メールにexe.ファイルとして添付され、プログラムの長さは55,808バイトである。下記が受信時のメッセージ;

 添付ファイルを開けてしまうとマイクロソフト社アウトルックの住所録にあるアドレスに転送され繁殖する仕組みなっている。次のこのウイルスVote.Aは、サイトパスワードを盗むトロイの木馬(TimeUpdate.exe)を us.f1.yahoofs.com からダウンロードし、実行しようとする。ほとんどの主なアンチウイルスソフトはTrojan.Barrioとして検知し警報する。 その後、デフォルトでのインストール中に新たに作成されるフォルダーのユーティリィティ(例:C:Program FilesMcAfeeVirusScan95)の内容を削除に取り掛かる。次にワームは、<Windows folder>aCker.vbs 及び<Windows System folder>MixDaLaL.vbsの二つのファイルを保存する。 更にVote.Aは、コマンドファイルC:¥Autoexec.batの新規作成か、上書きを行い、バッチファイル内にあるecho Y | format C がウインドウズ(95/98/Me及びDOS)の起動時に作動してハードディスクのフォーマットを試みる。

 MixDaLaL.vbsはビジュアル・ベーシック・スクリプト・ファイルでワームによって実行され、コンピュータ内とネットワークドライブの全てのフォルダをスキャンし、HTMLファイルを探す。HTMLファイルを見つけると次のようなメッセージに書き換える;

 ZaCker.vbsもやはりビジュアル・ベーシック・スクリプト・ファイルでコンピュータ起動時に実行されるようにプログラムされている。実行されるとフォルダ内のデータを消去し次のようなメッセージを表示する;


別名: W32.Vote.A@mm

情報ソース:
Trend Micro Inc.
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_VOTE.A
Symantec Corp
http://www.symantec.com/avcenter/venc/data/w32.vote.a@mm.html
Network Associates Inc./McAfee.com
http://vil.nai.com/villib/dispvirus.asp?virus_k=99212
Sept. 24, 2001

分析:
 上記に記載されたメールを受け取った場合はファイルを開けずに即座に削除した上でシステム管理者やヘルプデスクなどに連絡するよう指示をしておく事が重要。このウイルスは破壊力が強く、何回もファイルの書き換え、消去を試みるので注意が必要である。また、転送機能を使って送信も試みるのでネットワークトラフィックが増し、メール送受信に支障をきたす恐れがある。

検知方法:
 ZaCker.vbsかMixDaLaL.vbsの存在はウイルス感染の症候。 また、us.f1.yahoofs.comへアクセスした場合も感染を判断する手掛かりになる。

リカバリー方法:
 最新版のアンチウイルスソフトを導入すればVote.Aワームは検知・削除される。手動で対処する場合はZaCker.vbs及びMixDaLaL.vbsを検索し削除すれば手動でも復旧できる。

暫定処置:
 システム管理者は、ファイアウォールとルーターの設定にWTC.exeをフィルターするようにすればメールからの感染は防げる。また、レジストリエディター(Regedit)内にある次のキーを取り除く事;

HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun
Norton.Thar WindowsSystemaCker.vbs

 C:Autoexec.bat内にあるecho Y | format C:を削除する為にはテキストエディターを使用する。書き換えられたHTMLは全て削除して(殆どのHTMLは書き換えられている可能性が高い、ファイルのサイズは1Kb前後)バックアップからの削除されたファイルや壊れたファイルのリカバリーを行う。

ベンダー情報:
 殆どの会社から出ている最新のアンチウイルスソフトは、Vote.Aワーム及びBarrio Trojan Horseを検知する。

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【1:46 GMT、9月 25、2001】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 保険代理店への出向者による不適切な情報持ち出し ~ T&Dホールディングス 調査結果 発表

    保険代理店への出向者による不適切な情報持ち出し ~ T&Dホールディングス 調査結果 発表

  2. たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

    たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

  3. 従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

    従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

  4. FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

    FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

  5. 「制度の趣旨目的と異なる」~ SCS評価制度を引き合いにしたセキュリティ製品の営業活動に経産省が注意喚起

    「制度の趣旨目的と異なる」~ SCS評価制度を引き合いにしたセキュリティ製品の営業活動に経産省が注意喚起

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 脅威動向 記事
TOP