JPEGファイルに感染するPerrun | ScanNetSecurity
2024.05.09(木)

JPEGファイルに感染するPerrun

◆概要:
 Perrunは新しいタイプのウイルスで、JPEGファイルを介して拡散する能力を持っている。当該ウイルスはVisual Basic 6.xで書かれており、UPX圧縮されている。Perrunは電子メールやファイル共有ネットワーク、フロッピーディスク、IRC 、その他のファイル共有メ

国際 海外情報
facebookLINE
◆概要:
 Perrunは新しいタイプのウイルスで、JPEGファイルを介して拡散する能力を持っている。当該ウイルスはVisual Basic 6.xで書かれており、UPX圧縮されている。Perrunは電子メールやファイル共有ネットワーク、フロッピーディスク、IRC 、その他のファイル共有メディアを介して他のコンピューターに感染する。

 Perrunは、解凍コンポーネントとJPEGファイルに含まれている悪意のあるコードの2つのコンポーネントで構成されている。通常「extrk.exe」という名前の解凍コンポーネントがまずコンピューターにインストールされ、続いて、この解凍コンポーネントをJPEGファイル実行にフックするためにWindowsのリジストリを次のように変更する。このJEPGファイルにはウイルスコードが含まれているため、この解凍コンポーネントによってコードが抽出される。

HKCRjpegfileshellopencommand
(Default)=Current Directoryextrk.exe %1

 いったん解凍コンポーネントがリジストリにフックされると、JPEGファイル内の悪意のあるコードが解凍され、乗っ取られたコンピューター上で実行される。感染しているJPEGファイルのサイズは、多くの場合11,780バイトである。悪意のあるコードが実行されると、感染しているJPEGファイルが存在しているディレクトリーと同じ場所にあるJPEGファイルの1つに感染するが、感染を隠蔽するために元のJPEGファイルを表示する。

 Perrunはコンセプトプルーフタイプのウイルスとしてとらえられており、現時点では広く拡散するとは考えられない。この悪意のあるコードの最初の1つは、もともとネットワークアソシエイツ社にPROOF.EXEとして送信されたものだ。

◆別名:
W32/Perrun、Perrun、W32/Alcop@MM、Alcop


◆情報ソース:
・ Network Associates Inc./McAfee.com ( http://vil.nai.com/vil/content/v_99522.htm ), June 13, 2002
・ AVIEN ( http://www.avien.org/ ), June 13, 2002
・ iDEFENSE Intelligence Operations, June 13, 2002

◆キーワード:
 Virus: File infecting Virus: Script

◆分析:
 (iDEFENSE 米国)JPEGベースのこの新しいウイルスは、数多くのウイルスを作成しているAlcoPaulが作成したものと思われる。今のところ、彼のウェブサイトにはこのウイルスのサンプルがないが、近いうちにアップされる可能性が高い。AlcoPaulは、最近画像ファイル(JPEG、GIF、BMPなど)の感染方法を発表したばかりだ。

 Perrunの名前は、このウイルスが一回のルーチンで1つのJPEGファイルに感染する(once per each routine run)ところから来ているが、多くのファイルを一度に感染できるよう簡単に修正できる。さらに、今までは安全だと思われていた他の形式のファイルも、当該ウイルスのような方法を用いて攻撃することができる。

 ネットワークアソシエイツ社では、デフォルトモードでJPEGファイルをスキャンする計画はない。画像ファイルをスキャンすると、アンチウイルスのスキャン速度が大幅に低下してしまう。当該ウイルスのような悪意のあるコードが拡散し、深刻な問題を引き起こすようになると、アンチウイルスベンダーとしても新しいアルゴリズムとヒューリスティックを開発してすべての媒体を適切にスキャンする必要に迫られる。

◆検知方法:
 extrk.exe、proof.exe、およびサイズが11,780バイト増加したJPEGファイルを検知する。

◆リカバリー方法:
 Perrun関連のWindowsリジストリキーを全て削除し、クリーンなバックアップコピーを使って破壊・破損したファイルを修復する。感染したJPEGファイルだけでは、解凍コンポーネントであるextrk.exeが対象コンピューターにインストールされていなければ感染力はないが、上記のような攻撃を受けた場合は複数のJPEGファイルが感染している可能性もあり、通常のファイル転送を介して複数のコンピューターに簡単に感染する危険性がある。そのため、画像ファイルなどのタイプからこの種のウイルスを完全に撃退するのは、かなり困難になる。

◆暫定処置:
 全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。JPEGファイルのように、今まで安全とされていたファイルタイプのセキュリティを盲信しないことである。悪意のあるコードの作成者は、当該ウイルスのような新しいタイプの悪意のあるコードや二重拡張子などのトリックなど、ユーザーが知らないうちに乗っ取られてしまうようなさまざまな方法を試みる。あらゆる形式のファイルが感染している可能性があることに留意して、クリーンであることを確認することが重要である。

◆ベンダー情報:
 現在、ネットワークアソシエイツ社のアンチウイルスソフトウェアで、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのPerrunを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【18:08 GMT、06、13、2002】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  5. 社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

    社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  8. Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

    Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

  9. セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

    セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

  10. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP