米Symantecは、メールで感染を広げるワーム型ウイルス「W32.Maslan.A@mm」を危険度“2”で警告した。ダメージは“中”、感染力は“高”となっている。
Maslan.Aは、Windowsの「DCOM RPCの脆弱性」(MS03-026)を悪用して、TCP 135番ポートから外部IRCサーバーに接続するバックドアを開けるワーム型ウイルス。Internet Explorer(IE)をモニタリングし、ウィンドウ上で「mail」「bank」「trade」などの単語が入力された場合に、キー入力のログを外部Webサイトに転送するという。
具体的には、メールの添付ファイルをクリックすると感染し、Windowsのシステムフォルダに、ウイルスの一部である「___j.dll」、ウイルスのメイン部分である「___r.exe」、ウイルス「W32.IRCBot」を検知する「___synmgr.exe」と「___n.exe」などのファイルを作成する。レジストリキーも改変して、Windowsが起動するたびにウイルスも起動するよう設定を変更する。また、ルートキットの技術を用いてタスクマネージャの起動を妨げる可能性があるという。なお、ウイルス感染に利用されるメールの詳細は以下の通り。
●送信元
(詐称する)
●件名
123
●添付ファイル
PlayGirls2.exe
●本文
Hello [ランダムな名前]
--
Best regards,
[ランダムな名前]
感染してしまった場合は、最新のウイルス定義ファイルを使ってスキャンし、「Maslan.A」として検出されたファイルを全て削除した上、ウイルスによって改変されたレジストリ情報も修正する必要がある。なお、Windows XP/Meでは、あらかじめ「システムの復元オプション」を無効にしておく必要がある。
関連情報
■URL
ウイルス情報(英文)
http://securityresponse.symantec.com/avcenter/venc/data/w32.maslan.a@mm.html
関連記事:WindowsのRPCに任意のコードを実行されてしまう深刻な脆弱性
http://internet.watch.impress.co.jp/www/article/2003/0717/windows.htm
( 鷹木 創 )
2004/12/09 20:09
- ページの先頭へ-
|