オリンピックの判定に疑問を投げかけるSaltlakeワーム | ScanNetSecurity
2025.12.09(火)

オリンピックの判定に疑問を投げかけるSaltlakeワーム

◆概要:
 新種のワームSaltlakeは、オリンピックのショートトラック競技で韓国人スケーターに対する判定とその結果、米国(アポロ オーノ)が金メダルを獲得することになった審判団の判定について疑問を問い掛ける形を装って添付ファイルを開かせる新しいワームである

国際 海外情報
17 views
facebookLINE
◆概要:
 新種のワームSaltlakeは、オリンピックのショートトラック競技で韓国人スケーターに対する判定とその結果、米国(アポロ オーノ)が金メダルを獲得することになった審判団の判定について疑問を問い掛ける形を装って添付ファイルを開かせる新しいワームである。Saltlakeは、電子メールおよびインターネットのリレーチャットによって広まっている。

 Saltlakeによって送信された電子メールメッセージには、次の文字が含まれる。

◆Subject:
 You get off the ice and respect the referees decision

◆Message:
 Do you agree with the judge''s decision to disqualify a Korean
skater and award Apolo Ohno the gold medal Wednesday night?

◆Attachment:
 SALTLAKE.jpg.vbs

 感染したVBSファイルを実行されると、Saltlakeはマイクロソフト社のWindowsオペレーティングシステムを攻撃する。このファイルは、WindowsのSystemディレクトリーにSALTLAKE.jpg.vbsとして自己をコピーする。Saltlakeは、Windowsの起動時にこのファイルが実行されるようにWindowsのリジストリを変更する。

 さらに、mIRCディレクトリーにScript.iniがある場合、このファイルが上書きされ、コンピューターでmIRCが実行されるたびにメモリでワームが実行される。ワームおよびmIRCがメモリで実行されると、Saltlakeが同じmIRCチャンネルに接続されているほかのコンピューターに感染したファイルをアップロードする。Windowsのリジストリは、mIRC script.iniの感染を追跡するように変更され、後で再度感染しないようにキーが追加される。

 Saltlakeは、Kが開発したVBS Worms Generatorにより作成されている。

◆別名:
 I-Worm.Lee-Saltlake

◆情報ソース:
・ AVP
http://www.avp.ch/avpve/worms/email/leesalt.stm),
Feb. 25, 2002

◆分析:
(iDEFENSE 米国) Saltlakeは、Kによって作成されたVBS Worms Generatorで生成された簡単なワームである。同じアプリケーションで作成された悪意のあるコードのうち、最もよく知られているのはKournikovaである。
VBS Worms Generatorは、Kournikovaの発見以来多少休止状態に入っており、ほぼ一年広範囲でプログラムによって作成されたワームに対する防止策が採られてきたため、この新しい変形はコンピューターに対して大きな脅威とはならない。ただ、2001年にKournikovaが現れた月と同じ月にこの新しい変形が出現したことは多少特筆に値する(2001年2月13日、ID#102426を参照)。

◆検知方法:
 WindowsのSystemディレクトリーにSALTLAKE.jpg.vbsがあるかどうかを確認する。さらに、Saltlakeが作成したWindowsのリジストリキーを探す。コンピューターに詳しいユーザーは、悪意のあるコードについてscript.iniを確認することも可能である。

◆リカバリー方法:
 Saltlakeに関連するすべての電子メール、ファイル、Windowsのリジストリキーを削除する。クリーンなバックアップコピーを使って、script.iniを復元する。

◆暫定処置:
 VBSタイプの添付ファイルをブロックするように、電子メールサーバーおよびワークステーションを構成する。日常の作業には必要ないWindowsのScriptingHostをコンピューターから削除する。

◆ベンダー情報:
 AVP/Kaspersky Labsのアンチウイルスソフトウェアは、現在この悪意のあるコードに対する駆除が可能である。ほかのアンチウイルスソフトウェアは、経験則に用いて、このコードを発見できる場合がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【22:15 GMT、02、25、2002】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

    バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

  2. 期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

    期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

  3. 卒業研究で未知の脆弱性を発見 ~ 高知高専の学生が発見したWi-Fiルータの脆弱性 JVNで公開

    卒業研究で未知の脆弱性を発見 ~ 高知高専の学生が発見したWi-Fiルータの脆弱性 JVNで公開

  4. 191.4万件の個人情報が漏えいした可能性 ~ アサヒグループホールディングスへのランサムウェア攻撃

    191.4万件の個人情報が漏えいした可能性 ~ アサヒグループホールディングスへのランサムウェア攻撃

  5. 伊予銀行の再委託先で使用していたローレルバンクマシン提供のクラウドサービスに身代金要求を伴う不正アクセス

    伊予銀行の再委託先で使用していたローレルバンクマシン提供のクラウドサービスに身代金要求を伴う不正アクセス

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP