|
ウイルスメールのサンプル
|
トレンドマイクロは、ワーム型ウイルス「WORM_MYTOB.AR」をイエローアラートで警告した。危険度は3段階中の“中”。ダメージ度、感染力ともに“高”となっている。なお、米Symantecでは「W32.Mytob.CU@mm」として警告している。
MYTOB.ARは、メールで感染を広げるウイルス。また、感染活動には「LSASSの脆弱性」(MS04-011)も悪用するという。感染するとシステムフォルダに自分自身を「Lien Van de Kelder.exe」として複製し、システム起動時に自動的に実行されるようレジストリを改変する。Windows XP SP2のファイヤウォール機能も無効にする。
また、特定のWebサイトから「SYSTEM.EXE」というファイルをダウンロードする。トレンドマイクロのウイルス対策製品では、このファイルを「TSPY_AGENT.H」として検出する。TSPY_AGENT.Hはトロイの木馬型ウイルスで、アドウェア「ADW_MEDTICKS.A」をダウンロードする。
MYTOB.ARでは、外部からのリモートコントロールを可能にするバックドアも開く。インターネット上のIRCサーバ「irc.blackcarder.net」に接続し、IRCチャンネル「#hb3f1x3」に参加するため、不正リモートユーザーがIRCを介してファイルのダウンロードや実行、システム情報の取得などMYTOB.ARをコントロールできる。
このほか、hostsファイルを改変し、セキュリティ関連サイトへのアクセスを妨げ、ウイルス対策ソフトなどのプロセスを強制終了する。また、「H-3-1-1-B-O-T-3-F-1-X-3」というミューテックスを作成し、ウイルス自身のコピーが複数同時に実行されないよう設定するという。なお、ウイルスメールの詳細は以下の通り。
|
ウイルスメールのサンプル(その2)
|
●件名:(以下のいずれか)
・*DETECTED* Online User Violation
・*IMPORTANT* Please Validate Your Email Account
・*IMPORTANT* Your Account Has Been Locked
・*WARNING* Your Email Account Will Be Closed
・Account Alert
・Email Account Suspension
・Important Notification
・Notice of account limitation
・Notice: **Last Warning**
・Notice:***Your email account will be suspended***
・Security measures
・Your email account access is restricted
・Your Email Account is Suspended For Security Reasons
・(ランダムな文字列)
●メッセージ本文:(以下のいずれか)
・Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
・please look at attached document.
・Please read the attached document and follow it's instructions.
・Please see the attachement.
・The original message has been included as an attachment.
・To safeguard your email account from possible termination, please see the attached file.
・To unblock your email account acces, please see the attachement.
・We attached some important information regarding your account.
・We have suspended some of your email services, to resolve the problem you should read the attached document.
・We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
●添付ファイル名:(以下のいずれか)
・account-details
・document
・document_full
・email-doc
・email-info
・information
・info
・info-text
・instructions
・your_details
・(ランダムなファイル名)
●添付ファイルの拡張子:(以下のいずれか)
・BAT
・CMD
・EXE
・PIF
・SCR
・ZIP
関連情報
■URL
WORM_MYTOB.AR(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYTOB.AR
W32.Mytob.CU@mm(Symantec、英文)
http://securityresponse.symantec.com/avcenter/venc/data/w32.mytob.cu@mm.html
( 鷹木 創 )
2005/05/31 12:21
- ページの先頭へ-
|