Osirisトロイの木馬が攻撃者にバックドアアクセスを許可〜Osiris Trojan Provides Backdoor Access to Attackers〜

◆概要：
　Osirisは新型のトロイの木馬で、リモート攻撃者は感染したコンピューターにバックドアアクセスが可能になる。

　感染ファイルのサイズは約31.4kで、Osiris.exeのファイル名を持つ亜種の存在が確認されている。他のトロイの木馬アプリケーションと同様に、感染ファイルは電子メール、ファイル共有ネットワーク、インターネットリレーチャット、フロッピーディスクなどを媒体にして拡がる。

　感染ファイルを実行すると、Osirisがkernel32.exeファイルをWindows
Systemディレクトリーに作成し、Windowsリジストリを変更してWindows起動時にこのファイルを実行する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunKernel32=C:WindowsDirectorySystemkernel32.exe

　攻撃者用のバックドアが作成されると、コンピューターにさまざまな動作異常が発生する。例えば、CD-ROMトレイが自動的に開閉する、マウスの動作がおかしくなる、さまざまなアプリケーションが勝手に実行されるなど。Osirisのサーバーコンポーネントの実行時には、".:Serveur OsIrIs:."というテキストと"QUITTER"というボタンのある小型のウィンドウが表示される。

◆別名：
BDS/Osiris

◆情報ソース：
・ Central Command Inc.
( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=020311-000006 ), March 11, 2002

◆分析：
(iDEFENSE 米国) Osirisは、エジプト神話に出てくる死神の名前である。この名前は、operating system（オペレーティングシステム）とiris（眼球の虹彩）の2語をかけ合わせ（os-iris）、このトロイの木馬が感染したオペレーティングシステムを監視する目となるという意味を持たせたものと思われる。コンピューターに感染する他のトロイの木馬アプリケーションでの場合と同様に、リモートアクセスを取得した攻撃者が他の悪意のあるコードをインストールする可能性もある。

◆検地方法：
　Osiris.exeファイル (31.4k)、Windows Systemディレクトリー内のkernel32.exeファイル、Osirisが作成したWindowsリジストリキーの有無を確認する。また、トロイの木馬との関連性が高いポートを使った通信を監視して、異常を検出する。

◆リカバリー方法：
　Osirisに関連した全てのファイルを削除し、Windows起動時にトロイの木馬をメモリ実行するWindowsリジストリキーおよび起動項目と、System.ini、Win.ini、Autoexec.batに加えられた変更を削除する。攻撃者が複数のコードをインストールする可能性があるため、全ての悪意のあるコードを対象とした包括的なスキャンを実行する。

◆暫定処置：
　新規ファイルの取り扱いに十分注意する。ファイルの出所を確認し、最新のアンチウイルスソフトウェアを使って経験則に基づくスキャンを実行した上でファイルを開く。

◆ベンダー情報：
　Central Command社のアンチウイルスソフトウェアが、現在この悪意のあるコードに対応している。他のアンチウイルスソフトウェアも、経験則に基づいてこのコードを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　情報の内容は以下の時点におけるものです。
　【15:55 GMT、03、12、2002】