セキュリティプログラムの中止する「Bugbear Worm」
セキュリティプログラムを中止する、大量メール送信型ワーム「Bugbear Worm」が発見された。
脆弱性と脅威
脅威動向
このワームは、ネットワーク共有やローカルのアドレス帳に記録されているメールアドレスに対し、感染メールを送信するため非常に拡散が早い。感染したマシンは、、Windowsディレクトリの Systemサブディレクトリに、無作為な名前を持つ、拡張子が .EXEの実行型ファイルとして、自己コピーを作成。その後、次回のシステム起動時にこのファイルが一緒に起動するよう、レジストリキーを設定します。さらに、このワームは被害者のマシンの[スタートアップ]フォルダに ***.EXE(***は無作為なファイル名)として自己コピーを作成する。
また、感染したマシンのポート36794を開き、さまざまな実行中のプロセスをサーチし、一般的なウイルス対策、パーソナルファイアウォール製品が見つかった場合はそのプロセスを中止。被害者のマシンに、キー入力追跡プログラムに関連する DLLファイルをドロップするなど、悪質な活動を行うので注意が必要である。
関係各所の対応状況は下記の通り
▼日本ネットワークアソシエイツ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
4226以降のDATファイルにて対応
ウイルス詳細:
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Bugbear@MM
DATファイルダウンロードサイト:
http://www.nai.com/japan/download/dat_download.asp?type=dw4
▼トレンドマイクロ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パターンファイル354以降にて対応
ウイルス詳細:(現在英語による情報のみ)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BUGBEAR.A
パターンファイルダウンロードサイト:
http://www.trendmicro.co.jp/support/download.asp
▼シマンテック
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
9月30日付けの定義ファイルにて対応
ウイルス詳細:(現在英語による情報のみ)
http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html
定義ファイルダウンロードサイト:
http://www.symantec.co.jp/region/jp/sarcj/download.html
▼ソフォス
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
注意勧告を掲載するほか、最新の定義ファイルで対応
ウイルス詳細:
http://www.sophos.com/virusinfo/analyses/w32bugbeara.html
注意勧告
http://www.sophos.co.jp/virusinfo/articles/slapper.html
▼日本エフ・セキュア
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
10月1日以降の定義ファイルにて対応
ウイルス詳細:
http://www.f-secure.co.jp/v-descs/v-descs3/tanatos.htm
パターンファイルダウンロードサイト:
http://www.F-Secure.com/download-purchase/updates.shtml
《ScanNetSecurity》