ロシアのウイルス対策ベンダーKaspersky Labsは3日、ウイルス「Plexus.a」が発生したと発表した。感染したPCは、再起動を繰り返すとしている。
Plexus.aは、メールや共有フォルダ、ファイル共有ネットワークを通じて、もしくはLSASSとRPC DCOMの脆弱性(MS04-011、MS03-026)を悪用して感染する。Mydoomのソースコードを再利用して開発されている上に、SasserやBlasterが狙った脆弱性を同じように悪用しているという。Kasperskyのアンチウイルスソフトに対する定義ファイルの更新を妨害する機能も搭載しており、同社の製品を利用しているユーザーは注意が必要だ。
感染経路がメールの場合、Plexus.aは添付ファイルとして送信される。メールのヘッダーや本文、添付ファイル名の組み合わせは5パターン用意されており、ランダムに変化するという。共有フォルダやファイル共有ネットワークを介して感染を広げる場合のファイル名は以下の通り。
・AVP5.xcrack.exe
・hx00def.exe
・ICQBomber.exe
・InternetOptimizer1.05b.exe
・Shrek_2.exe
・UnNukeit9xNTICQ04noimageCrk.exe
・YahooDBMails.exe
このほか、LSASSとRPC DCOMの脆弱性を悪用し、ネットワーク経由でも感染を拡大する。なお、いずれの感染経路においてもウイルス本体のサイズは、16,208バイトにFSG圧縮されているという(展開時は57,856バイト)。
感染すると、レジストリに「upu.exe」というファイルを作成。また、システムに自身を識別させる「expletus」というユニークな識別子を作成する。さらに、TCP 1250番ポートをバックドアとして開放する。
Kasperskyでは、Plexus.aが「Windows\System32\drivers\etc\hosts」にあるデータを書き換えて、同社の提供する定義ファイルの更新を妨げるとし、感染してしまった場合はhostsファイルを削除して、定義ファイルをダウンロードする必要があるとしている。
関連情報
■URL
ニュースリリース(英文)
http://www.kaspersky.com/news?id=149129950
Plexus.a(英文)
http://www.viruslist.com/eng/viruslist.html?id=1618235
関連記事:件名「hi」や「test」などの新種ウイルス「Mydoom」に注意
http://internet.watch.impress.co.jp/cda/news/2004/01/27/1867.html
関連記事:ネットワークに接続しているだけで任意のコードを実行可能な脆弱性
http://internet.watch.impress.co.jp/cda/news/2004/04/14/2777.html
関連記事:WindowsのRPCに任意のコードを実行されてしまう深刻な脆弱性
http://internet.watch.impress.co.jp/www/article/2003/0717/windows.htm
( 鷹木 創 )
2004/06/04 19:01
- ページの先頭へ-
|