【詳細情報】Msvxd.exeとして拡散するDatomワーム
◆概要:
Datomは共有ネットワークリソースを介して拡散する新種のネットワーク攻撃型ワームで、msvxd.exe、msvxd16.dll、及びmsvxd32.dllという3つのコンポーネントで構成されている。この.exeコンポーネントを使用して、.dllファイルを読み込む。Datomは、標準のファ
国際
海外情報
Datomは共有ネットワークリソースを介して拡散する新種のネットワーク攻撃型ワームで、msvxd.exe、msvxd16.dll、及びmsvxd32.dllという3つのコンポーネントで構成されている。この.exeコンポーネントを使用して、.dllファイルを読み込む。Datomは、標準のファイル共有媒体を介して送信され、ネットワークを介して自己で拡散する。
Datomが実行されると利用可能なネットワークリソースを検索し、検知するとリモートコンピューターの接続共有化されているWindowsディレクトリーに自己コピーを作成しようと試みる。Winntから始まり、続いてmsdos.sysのwindirセクションで、共有Windowsディレクトリーを探す。共有Windowsディレクトリーの発見後、リモートコンピューター上に自己コピーを作成し、Windowsの起動時にmsvxd.exeを実行するようにwin.iniを改ざんする。
この他にも、DatomはZoneAlarmファイアウォールソフトウェアを検索し、発見後、メモリーで強制終了しようとする。感染通知が、拡散前に攻撃者が設定していた2種類の電子メールアドレスに送信される。この送信メールには、占拠したコンピューターの情報が含まれ、攻撃者が対象コンピューターに二次的攻撃を仕掛ける際に使用できると見られる。
◆情報ソース:
・ AVP ( http://www.avp.ch/avpve/worms/win32/datom.stm ), July 08, 2002
◆キーワード:
Worm: Attack
◆分析:
(iDEFENSE 米国)Datomを使用して、リモート攻撃者は二次攻撃を仕掛ける際の重要な情報を入手することができる。情報の入手後、ネットワーク上の各コンピューターに対して任意のソフトウェアやデータなどへ追加攻撃を加え、ネットワーク自体への悪用の為に、その情報を利用していると思われる。
◆検知方法:
Datomの作成した3つのファイルがWindowsディレクトリーにないかどうか、Windows起動時に当該ワームを実行するようwin.iniに変更が加えられていないかどうかをチェックする。
◆リカバリー方法:
Datomに関連する全ファイル及びWin.ini構文を削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。全通信を監視及び管理するにはファイアウォールを使用し、リモート攻撃者によってインストールされた悪意プログラムを完全削除する。
◆暫定処置:
全ての新規ファイルを慎重に管理し、経験則を用いる最新アンチウイルスソフトウェアでスキャン後、使用する。ネットワーク上のディレクトリーなどの共有部分を最小限にするだけでなく、パスワードによる保護も設定し、ネットワーク攻撃ワームの感染リスクを抑える。
◆ベンダー情報:
現在、AVP/Kaspersky Labs 社のアンチウイルスソフトウェアで、この新しい悪意プログラムを防御できる。また、他のアンチウイルスソフトウェアも、経験則を用いてこのDatomを検知できる可能性がある。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【16:39 GMT、07、08、2002】
《ScanNetSecurity》
