【詳細情報】HoroワームがHoroscope.scrとして拡散 | ScanNetSecurity
2024.05.04(土)

【詳細情報】HoroワームがHoroscope.scrとして拡散

◆概要:
 Horoは電子メールを介して拡散する新しいワームである。このプログラムは、Visual Basicで記述されており、FSGで圧縮されている。マイクロソフト社のOutlookアドレス帳にある全アドレスに対してHoroによって送信される電子メールには、以下の文字が含まれる。

国際 海外情報
facebookLINE
◆概要:
 Horoは電子メールを介して拡散する新しいワームである。このプログラムは、Visual Basicで記述されており、FSGで圧縮されている。マイクロソフト社のOutlookアドレス帳にある全アドレスに対してHoroによって送信される電子メールには、以下の文字が含まれる。

Subject: Today's free horoscope
Message: Open this screen saver file to see today's horoscope. No registrions. No fees. And No ugly lady in front of you! ABSOLUTE FREE!!!!!!!!!!!!!!!!
Attachment: Horoscope.scr (14,736 bytes)

 悪意のある添付ファイルが実行されると、HoroがWindowsのデスクトップディレクトリーにHoroscope.scrとして自己コピーを作成する。又、Windowsディレクトリーにすでにあるファイルの名前を利用してこのディレクトリーに複数のコピーを作成する。この場合、完全なファイル名の後にexe及び.exeを追加する。例えば、log.txtというファイル名がワームのコピーに利用されるとすると、そのファイル名はlogtxt.exe、logtxtexeexe.exe、又は同様の名前になる。Windowsの起動時にデスクトップ及びWindowsディレクトリーからこのワームを実行するように、Windowsのレジストリが以下のように変更される。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

 Windowsレジストリには、さらにWindowsディレクトリーにあるすべてのコピーを指すワームへのリンクが作成される。Horoは、以下のメッセージが表示する可能性がある。

scandskw
You are lucky today!

[ Aceptar ]

◆別名:
 W32.Horo@mm、Horo、W32/Horo、W32/Horo@MM、WORM_WCONN.B、Wconn.B、Wconn


◆情報ソース:
・Panda Software ( http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=37999&sind=0 ) , Jan. 14, 2003
・Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/w32.horo@mm.html ) , Jan. 14, 2003

◆キーワード:
 Worm: E mail

◆分析:
 (iDEFENSE 米国) Horoは、Windowsディレクトリーに自己コピーを複数作成する。これは、ハードディスクの利用可能なメモリーを制限又は消費し、オペレーティングシステムを不安定な状態にさせる可能性がある。現在Horoは、一般には拡散していないと考えられている。

◆検知方法:
 電子メール、WindowsデスクトップのファイルHoroscope.scr、Windowsディレクトリーの疑わしい.exeファイルを探す。ワームによって作成されたWindowsレジストリキー及び表示される可能性のあるメッセージも探す。

◆リカバリー方法:
 この悪意のあるプログラム脅威に関連した全ファイルとWindowsのレジストリキーの変更をすべて削除する。破壊・破損したファイルをクリーンなバックアップコピーで修復する。

◆暫定処置:
 一般的に悪意のあるプログラムが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

◆ベンダー情報:
 この新しい悪意のあるプログラムに対応可能なアップデートシグニチャファイルは、近日中に各アンチウイルスベンダーから発表される予定である。また、アンチウイルスアプリケーションによっては、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【18:22 GMT、01、15、2003】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  9. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  10. 「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

    「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP