IRC.Mizi.Worm | 
|
| 発見日 2002年07月30日 (米国時間) | | 最終更新日 2004年03月10日 (米国時間) |
IRC.Mizi.Worm は mIRC を使い、感染先のユーザが接続したチャンネルに参加しているユーザにメッセージを送信することで感染を拡大する IRC ワームです。このワームは、メッセージを受信した人を説得してインターネット上のあるサイトからワームのコピーをダウンロードさせようとします。
しかし、ワームのコピーが置かれていたサイトは現在は (2002年7月30日以前から) 閉鎖されているため、このワームが感染を拡大するおそれはなくなりました。
|
別名: | IRC/Muzik [McAfee] |
|
| |
|
種別: | ワーム |
|
感染サイズ: | 18 バイト, 43 バイト, 150 バイト, 2,229 バイト, 422 バイト |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
リスクインパクト
- 発病症状:
- ファイル改ざん: C:\Autoexec.bat, %windir%\Win.reg, C:\Mirc\Mirc.ini
IRC.Mizi.Worm が実行されると、次のことを実行します。
自分自身のコピーを次のファイルとして作成します。
- C:\Winsys98.bat
- C:\K5elite\System\Remote\Script.ini
- C:\K5elite\Videosex.bat
- C:\Mirc\Videosex.bat
- C:\Mirc\Script.ini
また、次のファイルを改変します。
- C:\Autoexec.bat
- %windir%\Win.reg ( Internet Explorer のホームページを変更するためのレジストリキーが含まれています。)
- C:\Mirc\Mirc.ini
注意: %windir% は可変です。このワームは Windows のメインコンポーネントのインストール先フォルダ (標準では C:\Windows または C:\Winnt) を探し出し、その場所に自分自身をコピーします。
さらに IRC.Mizi.Worm は C:\System.bat というバッチファイルを作成します。そのファイルは %windir%\Win.reg を使って Internet Explorer のホームページを変更します。
現在の感染先コンピュータのユーザが接続しているチャンネルに他のユーザが参加すると、IRC.Mizi.Worm のその人々にメッセージを送信し、メッセージを受け取った人にインターネット上のあるサイトからワームのコピーをダウンロードするように促します。
注意: ワームのコピーが置かれていたサイトは現在は (2002年7月30日以前から) 閉鎖されているため、このワームが感染を拡大するおそれはなくなりました。
Symantec Security Responseでは、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。
- 不必要なサービスをすべて無効化するか、あるいは削除する。OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
- 1つ、あるいは複数のネットワークサービスが複合型リスクの攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
- 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNSサービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
- パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
- メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
- ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
- 従業員に対し、次のことを徹底させる。
- 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
- インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
- 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。
以下の手順は、Symantec AntiVrus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。
1. ウイルス定義を最新版に更新します。
2. コンピュータをセーフモードで再起動します。
3. システム全体のスキャンを実行し、IRC.Mizi.Worm として検出されたファイルをすべて削除します。
具体的な手順については、以下のセクションをご覧ください。
1. ウイルス定義を更新する
ウイルス定義を最新版に更新します。最新版のウイルス定義は次の2通りの方法で入手することができます。
- LiveUpdate を実行する方法:
シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加・更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑える事ができます。
LiveUpdate のウイルス定義は、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。
このウイルスへの対応は、ページ上部に記載の「対応日(LiveUpdate)」欄の日付をご覧ください。
- Intelligent Updater を使用してウイルス定義をダウンロードする方法:
Intelligent Updater は、.シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。
Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日アップロードされています。Intelligent Updater 形式のウイルス定義は LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。
このウイルスへの対応は、ページ上部に記載の「対応日(Intelligent Updater)」欄の日付をご覧ください。
注意: Intelligent Updater は、ウイルス定義とスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義の更新を行い、疑わしいファイルからウイルスを検知出来ない場合などに、Intelligent Updater でウイルス定義を更新する事をお薦めします。
Intelligent Updater のウイルス定義は、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。
2. 感染ファイルを探して削除する
a. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。
b. システム全体のスキャンを実行します。
c. IRC.Mizi.Worm に感染しているファイルが検出されたら、[削除] をクリックします。その後、必要に応じて改変されたファイルを未感染のバックアップコピーで置き換えてください。
記述: Atli Gudmundsson
|
