Markerマクロウィルスの変種がまた発見される
◆概要:
Markerマクロウィルスファミリーの他の変種が、また発見された。Sophos PlcによってMarker.AKと呼ばれるこの新しい変種は、オリジナルのMarkerとほとんど同じである。Sophos Plcによれば、新しい変種は悪意のあるペイロードを含んでおらず、複製する以外には
国際
海外情報
Markerマクロウィルスファミリーの他の変種が、また発見された。Sophos PlcによってMarker.AKと呼ばれるこの新しい変種は、オリジナルのMarkerとほとんど同じである。Sophos Plcによれば、新しい変種は悪意のあるペイロードを含んでおらず、複製する以外には特に機能は持たないという。Marker.AKは、マイクロソフトの Wordドキュメントに感染し、電子メール、ファイル共有ネットワーク、フロッピーディスク、IRC等のファイル共有メディアによって他のコンピューターに感染する。
◆別名:
WM97/Marker-AK, Marker.AK, Marker
◆情報ソース:
・Sophos Plc.
( http://www.sophos.com/virusinfo/analyses/wm97markerak.html ), May 24, 2002 iDEFENSE Intelligence Operations, May 24, 2002
◆分析:
(iDEFENSE 米国) Marker.Aは、ユーザアドレスとコンピューター名のログを取り続け、それをマクロコードの最終行にコメントする。また、感染が生じるごとに、この情報が更新される。Marker.CのようなMarkerファミリーのいくつかの変種は、CodeBreakersのウェブサイト(現在利用不可能)へFTPによって重要な情報を転送しようと試みる。Marker.AKは、そのような情報を転送しないようだが、前述の様に、マクロコードの末尾に重要な情報を付加する。
◆検知方法:
マイクロソフトの Wordドキュメントに加えられた新しいマクロを検索し、前述の様に悪意のあるコードや重要なデータが含まれていないかどうかチェックする。
◆リカバリー方法:
Marker.AKに関連した悪意のあるマクロをすべて削除して、クリーンなバックアップコピーを使い、破壊されたり損傷したファイルを復旧する。また、マイクロソフトのWordドキュメントの再感染を回避するために、normal.dotがクリーンな事を確認する。悪意のあるマクロの実行を防止するため、マイクロソフト Wordのセキュリティ設定を「高」にする。
◆暫定処置:
前述の通り、悪意のあるマクロの実行を防止するため、マイクロソフト Wordのセキュリティ設定を「高」にする。また、新しいマイクロソフトの Wordドキュメント上で手動のスキャンを実行した後に、新しいファイルを開く。もしファイルが怪しい場合は、悪意のあるマクロをサポートしないノートパッド(メモ帳)で開き、テキストをチェックし、悪意のあるコードが隠されている手掛かりを調査する。
◆ベンダー情報:
Sophos Plcのアンチウイルスソフトウェアは、現在この新しい悪意のあるコードを検出できる。また、他のアンチウイルスソフトウェアも、この悪意のあるコードを経験則を用いて検知できる可能性がある。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【17:53 GMT、05、26、2002】
《ScanNetSecurity》