【詳細情報】トロイの木馬をインストールするSpeedupワーム
◆概要:
新しいワームであるSpeedupは、ピアツーピア(P2P)ファイル共有ネットワークを介して拡散し、Backdoor-AONというバックドア型トロイの木馬をインストールする。Speedupは、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャ
国際
海外情報
新しいワームであるSpeedupは、ピアツーピア(P2P)ファイル共有ネットワークを介して拡散し、Backdoor-AONというバックドア型トロイの木馬をインストールする。Speedupは、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有媒体を介して他のコンピューターに拡散する。
悪意のある添付ファイルが実行されると、SpeedupがMorpheus、KaZaA、BearShare、eDonkey 2000のP2P共有ディレクトリー、C:からE:の共有ディレクトリー、gnucleus、共有されているマイドキュメントディレクトリー、shareaza、rapigatorに自己コピーを作成する。全てのファイル名が.exe拡張子で終わり、「ZoneAlarm Pro Full.exe」や「xxx screensaver.exe」などの広告的なダウンロード名が付いている。さらに、autoecec.bat及びsyscfg32.batとしてC:ドライブにファイルが作成される場合もある。
また、SpeedupはWindowsディレクトリーに「cable accelerator.exe」として自己コピーを作成する。さらに、Windowsのシステムディレクトリーにcfgload32.exeというファイルとしてAONバックドア型トロイの木馬をインストールする。Windows起動時に、このワーム及びトロイの木馬を実行するように、Windowsのレジストリを変更する。
◆別名:
W32/Speedup.worm、Speedup、Backdoor-AON、Worm.P2P.Speedup
◆情報ソース:
・Network Associates Inc./McAfee.com ( http://vil.nai.com/vil/content/v_99945.htm ) , Jan. 06, 2003
◆キーワード:
Trojan: Backdoor
◆分析:
(iDEFENSE 米国) Speedupは、バックドア型トロイの木馬をインストールするためにP2Pネットワークを介して拡散するように設計されている。
◆検知方法:
電子メール、Windowsディレクトリーのファイル「cable accelerator.exe」、Windowsシステムディレクトリーのファイルcfgload32.exe、ワームによって作成されたWindowsレジストリキーを探す。
◆リカバリー方法:
この悪意のあるプログラムの脅威関連の全ファイルとWindowsのレジストリキーの変更を全て削除する。破壊・破損したファイルをクリーンなバックアップコピーで修復する。ワームによって上書きファイルscript.ini及びされたその他のファイルも修復する。全てのアンチウイルス及びセキュリティ関連ソフトウェアの機能を検証する。
◆暫定処置:
全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。実行可能な場合は、P2Pソフトウェアの使用を回避する。全通信を監視し管理するためにファイアウォールを使用する。
◆ベンダー情報:
この新しい悪意のあるプログラムに対応可能なアップデートシグニチャファイルは、近日中に各アンチウイルスベンダーから発表される予定である。また、アンチウイルスアプリケーションによっても、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【21:09 GMT、01、08、2003】
《ScanNetSecurity》