【詳細情報】Zetnoトロイの木馬が拡散中 | ScanNetSecurity
2024.05.08(水)

【詳細情報】Zetnoトロイの木馬が拡散中

◆概要:
 Zetnoトロイの木馬の亜種の拡散が確認された (ID# 112465, Oct. 19, 2002)。当該記事の掲載時点では、攻撃に関連したリモートウェブサイトは依然として利用可能であり、悪意のあるプログラムをホスティングしている。

国際 海外情報
facebookLINE
◆概要:
 Zetnoトロイの木馬の亜種の拡散が確認された (ID# 112465, Oct. 19, 2002)。当該記事の掲載時点では、攻撃に関連したリモートウェブサイトは依然として利用可能であり、悪意のあるプログラムをホスティングしている。

 2001年10月21日には、WinGerSys.exe および Mini.exeに関連したコードとインシデントの詳細が、SecurityFocus メーリングリストで公開されている。Mini.exeファイルは、悪意のあるコンポーネントによってダウンロードされるもので、ネットワークアソシエイツ社/McAfee.comのアンチウイルスソフトウェアがDownloader-BKとして検知したと報告されている。また、このトロイの木馬によるネットワーク感染が数件報告されており、最初の感染は2002年10月18日に発生している。

 MessageLabs社の社員によれば、一人の人物が大量メールの送信を実行し、このトロイの木馬を複数のリストと個人ユーザーに送っているようである。当該電子メールに関連した送信者の電子メールアドレスはVictoria@mail.ru、件名はVikaである。IPアドレスは一定していないが、全ての電子メールはロシアのウラジオストクにあるさまざまなダイヤルアップアドレスから送信されている。

 Zetnoトロイの木馬のこの新型亜種は、http://mysiteinc.com/oboron/mini.exe からmini.exeのダウンロードを試み、このファイルをzetno.exe としてC:ドライブに保存する。ダウンロードが完了すると、Zetnoがこの悪意のあるファイルの実行を試み、コンピューター上にバックドアコンポーネントをインストールする。この新型亜種は、Pexで暗号化されており、Nortonアンチウイルスを含む主要アンチウイルスソフトウェアによる検知を回避するための変更が加えられている。

別名:
 Downloader-BK、WinGerSys、Win32/Oblivion.1_1、Oblivion、Worm/Zetno、Zetno


◆情報ソース:
・Central Command Inc. (http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=021018-000013) , Oct. 18, 2002
・SecurityFocus (http://www.securityfocus.com/), Oct. 21, 2002
・iDEFENSE Intelligence Operations, Oct. 21, 2002

◆キーワード:
 Trojan: Backdoor Trojan: Downloader
 Worm: Other Russia

◆分析:
 (iDEFENSE 米国) このトロイの木馬の手動操作による大量送信の狙いは、パッチが適用されていないコンピューターを探し出すことである。このような脆弱コンピューター上で電子メールを表示すると、トロイの木馬の添付ファイルが自動的に実行される。サイレントインストールが実行された場合は、コンピューターのユーザーが感染に気づかない可能性が高い。

◆検知方法:
 ロシアのIPを使ってVictoria@mail.ruから送信される、"Vika" の件名を持つ電子メールに注意する。また、攻撃に使われるウェブサイトに関連した動作と、このトロイの木馬がダウンロードするzetno.exeおよびmini.exeファイルに注意する。この亜種は、WindowsディレクトリーにWinsysger.exe (1,025バイト) および Zipload32.exe (11,541バイト) を作成する可能性が高い。

◆リカバリー方法:
 Zetnoに関連する全てのファイルとwin.iniおよびsystem.iniステートメントを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。ファイアウォールを利用して全ての通信を監視・管理し、リモート攻撃者がインストールした可能性のある悪意のあるプログラムを完全に除去する。全てのパスワードを変更して、コンピューターの防御を強化する。

◆暫定処置:
 全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。ファイアウォールを利用して、全ての通信を監視・管理する。

◆ベンダー情報:
 経験則を用いるアンチウイルスソフトウェアで、この悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【17:11 GMT、10、21、2002】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  5. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  6. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  7. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  8. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  9. 「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

    「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

  10. セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

    セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP