 |
 |
記事検索 |
最新ニュース |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
Mydoomに感染しているマシンにさらに感染するウイルス「Doomjuice」 |
||||||||||
|
||||||||||
|
~メールの感染活動は行なわないが、Microsoftに対してDDoS攻撃を実行
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
Doomjuiceは、トロイの木馬型のウイルス。メールによる感染活動は行なわないが、ランダムなIPアドレスのポート3127番を検索し、このポートが開いている場合には、自分自身をコピーして感染を広げるという。ポート3127番は、Mydoomのバックドアが外部との通信を行なうためのポートの一部であるため、すでにMydoomに感染しているPCを標的にしていると考えられる。また感染後は、MicrosoftのWebサイトに対して、DDoS攻撃も行なう。 実際にDoomjuiceに感染すると、自分自身のコピーをWindowsのシステムフォルダに「intrenat.exe」としてコピーし、レジストリを改変する。これにより、PC起動時には常にDoomjuiceが起動するようになる。また、Mydoomのソースコードのコピーを圧縮したファイルを以下の場所に作成する。 ・<システムフォルダ>\sync-src-1.00.tbz ・<ルートフォルダ>\sync-src-1.00.tbz ・ そして、システムの日付が2月9日以降だった場合に、「microsoft.com」に対してDDoS攻撃を実行するという。 万が一感染してしまった場合には、タスクマネージャを起動してメモリ上で実行されているウイルスプログラムを終了した後に、レジストリを修正しなければならない。再起動後に、ウイルス対策ソフトの定義ファイルを最新版にアップデートし、「Doomjuice」として検出したファイルをすべて削除ればよいという。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要があるため、注意が必要だ。 関連情報 ■URL トレンドマイクロ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DOOMJUICE.A F-Secure http://www.f-secure.co.jp/v-descs/v-descs3/doomjuice.html ■関連記事 ・ 件名「hi」や「test」などの新種ウイルス「Mydoom」に注意(2004/01/27) ・ Mydoomを“アップデート”し、SCOとMicrosoftを攻撃する亜種(2004/01/29) ・ ウイルス「Mydoom」をアンインストールするウイルスが登場(2004/02/09)
( 大津 心 )
- ページの先頭へ-
|
