Leeワームの新亜種が発見される
◆概要:
大量メール送信型ワームLeeの新亜種「Lee.D」が発見された。Lee.Dは、マイクロソフト社のInternet Explorerのスタートアップページを成人向けウェブサイトに変更する。
国際
海外情報
大量メール送信型ワームLeeの新亜種「Lee.D」が発見された。Lee.Dは、マイクロソフト社のInternet Explorerのスタートアップページを成人向けウェブサイトに変更する。
Lee.Dが送信する電子メールは日本語テキストを含み、次のような特徴で表示される。
件名:
konnichiwa (こんにちは)
本文:
konnichiwakono syashin mite ne!!!!!!(こんにちは この写真見てね)
添付ファイル:
SYASHIN2.JPG.VBS (3,106 bytes)
感染ファイルが実行されると、Lee.Dは自身をSYASHIN2.JPG.VBSとしてWindowsディレクトリーにコピーする。次にこのワームは、マイクロソフト社のOutlookのアドレス帳に格納されるすべてのアドレスに対して大量メール送信ルーチンを実行する。またLee.Dはインターネットリメ[チャット(IRC)を介しての増殖を試み、この場合、mIRCが存在するコンピューターを使用する他のIRCユーザーにファイルを転送する方法がとられる。
Lee.Dは、Script.iniファイルを、mIRCの実行時にワームをメモリーで実行する悪意のあるScript.iniファイルで上書きすることで増殖を行う。
Lee.Dは、Windowsリジストリーの以下の場所に変更を加える。
HKLMSoftwareMicrosoftWindowsCurrentVersionProgramFilesDir
そして最終的に、Internet Explorerスタートアップページが
http://it.geocities.com/windows2it/index.htm に変更される。このサイトには大人向けのコンテンツが含まれるほか、類似のコンテンツへのリンクでコンピューターを絶えずアップデートするActive-Xコントロールが含まれる。
◆別名:
VBS/Anjulie.gen@MM, I-Worm.Lee-Based, Bloodhound.VBS.Worm, Anjulie, Lee,Lee.D, VBS_LEE.D, IRC_LEE.D
◆情報ソース:
・ Trend Micro Inc.
(http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_LEE.D),March 25, 2002・ iDEFENSE Intelligence Operations, March 26, 2002
◆分析:
(iDEFENSE 米国) 現在Leeの複数の亜種が拡散していることが確認されており、ソースコードも容易にアンダーグランドから入手可能(ID# 105868, Oct. 15, 2001)。Lee.Dは、成人向けコンテンツを利用する悪意のあるコードと同種になる。
◆検知方法:
電子メール、Windowsディレクトリー内のSYASHIN2.JPG.VBSファイル、そしてこのワームが作成したWindowsリジストリーキーの存在を確認する。
◆リカバリー方法:
Lee.Dに関連するすべてのファイルおよびWindowsリジストリーキーを削除し、壊れたまたは破損したファイルを感染されていないバックアップコピーから復元する。
Internet Explorerのホームページ設定を元の構成に戻す。
◆暫定処置:
この悪意のあるコードが他のコンピューターに拡散させ、頻繁に使用するためにファイルの種類をブロックするように電子メールサーバーとワークステーションを構成する。新しいファイルを使用する前に、アップデートされたアンチウイルスソフトウェアで経験則を用いて走査b驍ネど、すべての新しいファイルを注意深く管理する。
Visual Basicスクリプトファイルをスクリプトエディターに関連づけるか、関連づけを完全に削除することで自動実行を回避する。通常の稼動にWindowsスクリプティングホスト(WSH)を必要としないコンピューターからWSHを削除する。以下の手順に従って、マイクロソフト社のオyレーティングシステム上でのVBSファイル実行を停止する。
Windows 95とWindows NTでは、VBSファイルの関連づけを削除する:
1. [マイコンピュータ]で、[表示]をクリックしてドロップダウンメニューから[オプション]または[フォルダオプション]を選択する。
2. [ファイルタイプ]タブで、[VBScripスクリプトファイル]のエントリを選択して削除する。
3. 確認を促されたら[はい]をクリックする。
Windows 98では、WSHを削除する:
1. [スタート]メニューから、[設定]を選択し、[コントロールパネル]をクリックする。
2. [アプリケーションの追加と削除]を選択する。
3. [Windowsファイル]タブで、[アクセサリ]を選択する。
4. [アクセサリ]のウィンドウで[Windowsスクリプティングホスト]オプションをオフにする。
5. [OK]をクリックして、[Windowsスクリプティングホスト]を無効にする。6. [適用]をクリックする。
Windows 2000では、VBSファイルの関連づけを削除する:
1. [マイコンピュータ]で、[ツール]をクリックして[フォルダオプション]を選択する。
4. [ファイルの種類]タブで、[VBScriptスクリプトファイル]を選択する。
3. [削除]をクリックする。
5. 確認を促されたら[はい]をクリックする。
ベンダー情報:
トレンドマイクロ社のアンチウイルスソフトウェアが、現在この新しい悪意あるコードに対応可能。その他のアンチウイルスソフトウェアも、経験則を用いてこの悪意あるコードを検知できる場合がある。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
情報の内容は以下の時点におけるものです。
【21:47 GMT、03、26、2002】
アイディフェンス社の iAlert サービスは下記のURLより
お申込みいただけます。
http://shop.vagabond.co.jp/p-alt01.shtml
《ScanNetSecurity》