【詳細情報】NieberワームがBernie.vbsを作成 | ScanNetSecurity
2025.12.09(火)

【詳細情報】NieberワームがBernie.vbsを作成

◆概要:
 Nieberは、大量メール送信ルーチンを実行する新しいVisual Basic Script(VBS)型のワームである。Nieberのサイズは5,652バイトで、一般的に電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャット、その他の媒体によって他のコンピ

国際 海外情報
15 views
facebookLINE
◆概要:
 Nieberは、大量メール送信ルーチンを実行する新しいVisual Basic Script(VBS)型のワームである。Nieberのサイズは5,652バイトで、一般的に電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャット、その他の媒体によって他のコンピューターに拡散する。

 Nieberが実行されると、WindowsのSystemディレクトリーに Nieberのコピーがbernie.vbsとして作成される。また、Windowsの起動時にこのファイルを実行し、大量メール送信が一度完了したことを記録するために、Windowsのリジストリが変更される。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Bernie=wscript.exe System DirectoryBernie.vbs %

HKCUsoftwareBernie
Mailed="1"

 その後、NieberはWindowsのアドレス帳(WAB)にある全アドレスに対してHTML形式の電子メールを送信しようとする。さらに、すべてのローカルおよびマップされているドライブで.vbe及び.vbsファイルを探し、これらファイルが見つかった場合は同ワームのコピーでファイルを上書きする。また Nieberは複数のメモ帳インスタンスを開き、利用できるリソースを使い果たそうとするため、サービス拒否(DoS)攻撃も仕掛けているものと思われる。また、Nieberは、Internet Explorerのスタートページを http://membres.lycos.fr/aoteam/mange.com に変更する。

◆別名:
 VBS_NIEBER.A、NIEBER.A、Bernie、Nieber


◆情報ソース:
 Trend Micro Inc. (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=VBS_NIEBER.A&VSect=T), July 30, 2002
 iDEFENSE Intelligence Operations, July 30, 2002

◆キーワード:
 Worm: E mail

◆分析:
 (iDEFENSE 米国) Nieberによって送信されるHTML形式の電子メールの特徴は判明していない。電子メールは、上述のような悪意のあるウェブサイトへのハイパーリンクや、埋め込まれた悪意のあるファイルを含んでいる可能性が高い。

 Nieberに関連した悪意のあるウェブサイト及びmange.comファイルは、まだダウンロードが可能である。Mange.comには、Windowsディレクトリーにある.comおよび.exe拡張子を持つ全ファイルを削除する方法が含まれている。尚、.comファイル内のテキストを大まかにフランス語から英語に翻訳すると Bernie Eats(Bernieは食べる)となるが、これは同ワームのファイル削除ルーチンを意味しているものと思われる。

◆検知方法:
 上述のような電子メールの存在、NieberによってWindowsのSystemsディレクトリーに作成されたbernie.vbs、及び Nieberによって作成されたWindowsのリジストリキーを探す。また、Internet Explorerおよびmange.comへの変更を探す。

◆リカバリー方法:
 Nieberに関連する全てのファイルとWindowsのリジストリキーを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。さらに、クリーンなバックアップコピーで.vbe及び.vbsファイルを修復する。また、mange.comが実行されてしまった場合は、オペレーティングシステム及び関連ファイルの再インストールが必要となる場合がある。

◆暫定処置:
 一般的に悪意のあるコードが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。また、すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

 通常のオペレーションでWSH(Windows Scripting Host)が不要な場合、それをコンピューターから削除する。WSHが必要なコンピューターでは、VBSファイルの自動実行を防ぐため、VBSをスクリプトエディターに関連づけるか、または関連づけを完全に削除する。

◆ベンダー情報:
 現在、トレンドマイクロ社のアンチウイルスソフトウェアで、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのNieberを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【14:27 GMT、08、01、2002】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

    期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

  2. バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

    バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

  3. 脅迫文がサーバに保存 ~ 東海大学委託先 東海ソフト開発にランサムウェア攻撃

    脅迫文がサーバに保存 ~ 東海大学委託先 東海ソフト開発にランサムウェア攻撃

  4. 創刊 27 周年記念キャンペーンのおしらせ(3)5 万人に一人のエリートからぞくぞくとお問い合わせをいただいております

    創刊 27 周年記念キャンペーンのおしらせ(3)5 万人に一人のエリートからぞくぞくとお問い合わせをいただいております

  5. Yahoo!ショッピング加盟のワインショップから10,268件の受注情報が流出

    Yahoo!ショッピング加盟のワインショップから10,268件の受注情報が流出

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP