【詳細情報】BATファイルを上書きするWithout.Cワーム
◆概要:
Without.Cは大量メール送信型ワームで、自身をMicrosoft Outlookのアドレス帳の全記載連絡先に送信する。
国際
海外情報
Without.Cは大量メール送信型ワームで、自身をMicrosoft Outlookのアドレス帳の全記載連絡先に送信する。
Without.Cのプロセスが送信する電子メールの内容は以下のとおり。
Subject: Hi!!
Message: Hi! Guck dir mal das kranke Bild an! ;-)
Attachment: Without.bat (1,285 bytes)
この悪意のある添付ファイルの実行後、Without.Cは自己コピーをWinstart.batファイルとしてMicrosoft Windowsオペレーティングシステムを実行するコンピューター上のスタートアップディレクトリーに作成する。又、当該ワームは、自己コピーをWithout.batファイルとしてC:に作成する。A:、D:、E:が媒体として存在する場合、Without.Cはこれらの場所にも自己コピーを作成する。
Without.CはC:上にsend.vbsファイルを作成して実行する。又、当該ワームは大量メール送信ルーチンを実行するため、悪意のある電子メールをMicrosoft Outlookアドレス帳に記載される全アドレスに送りつける。当該ワームは、カレントディレクトリーの親ディレクトリー内及びカレントパス上の他のディレクトリー内の全BATファイル、そしてA:、C:、D:、及びE:上のBATファイルを上書きしようと試みる。
別名:
Without.C, BAT.Without.C@mm, Without
◆情報ソース:
・Symantec Corp. (http://www.symantec.com/avcenter/venc/data/w32.hllp.ipamor.html) , Oct. 04, 2002
・iDEFENSE Intelligence Operations, Oct. 04, 2002
◆キーワード:
Trojan: Batch Trojan: Nuker
Worm: E mail Incident: Malicious code
◆分析:
(iDEFENSE US) この電子メールの内容から、当該ウイルスは英語圏のターゲットユーザーではなく、ドイツ語圏ユーザーに拡散する可能性が高い。
◆検知方法:
Without.Cが作成したsend.vbsファイルやWithout.batファイルの存在を確認する。更に電子メール内に前述の情報が記載されていないか探す。サイズが1,285バイトの疑わしいファイルが存在しないかも確認する。
◆リカバリー方法:
Without.Cに関連する全ファイルを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。
◆暫定処置:
一般的に悪意のあるプログラムが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。全ての新規ファイルを慎重に管理し、経験則を用いる最新アンチウイルスソフトウェアでスキャン後、使用する。
◆ベンダー情報:
現在、シマンテック社のアンチウイルスソフトウェアで、この新しい悪意のあるプログラムへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【18:37 GMT、10、06、2002】
《ScanNetSecurity》