|
| Symantec Security Response http://securityresponse.symantec.com |
VBS.Pelic.Worm | 
|
| 発見日 2002年10月01日 (米国時間) |
| 最終更新日 2004年04月23日 (米国時間) |
VBS.Pelic.Worm は mIRC およびファイル共有ネットワークKaZaAを介して感染を拡大し、感染先コンピュータ上にインストールされているアンチウイルスプログラムを削除しようとするワームです。
| 別名: | IRC.Worm.Generic |
| 種別: | ワーム |
| 感染サイズ: | 7915 バイト |
| 影響を受けるシステム: | Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me |
| 影響を受けないシステム: | Microsoft IIS, Macintosh, UNIX, Linux |
 | ||||||||
| ||||||||
| ||||||||||||||||||||||||||||
- 発病症状:
- 共有ドライブ: 自分自身をKaZaAの共有フォルダにコピーする
VBS.Pelic.Worm は mIRC チャンネルを使い、Script.ini ファイルに行を追加することで感染を広げます。
ワームが動作中にユーザがチャットチャンネルに参加すると、スクリプトが次のメッセージを表示します。
hola , soy francisco , quieres tener todas las peliculas que quieras ver!
(和訳): "こんにちは、私はフランシスコです。観たい映画のフィルムが欲しいですか?"
その後、 C:\Windows\All_acces_videos.exe.vbs というファイルを作成します。
ワームは動作中、自分自身のコピーを次のファイル名で作成します。
- C:\Windows\autoexec.bat.vbs
- C:\Program Files\KaZaA\My Shared Folder\Sex-free.exe.vbs
- C:\ARCHIV~1\KaZaA\My Shared Folder\Windows-xp-full-edition.exe.vbs
- C:\ARCHIV~1\KaZaA\My Shared Folder\Shakira-sex-anal.jpg.vbs
- C:\Program Files\KaZaA\My Shared Folder\Mix-brazil.mp3.vbs
- C:\ARCHIV~1\KaZaA\My Shared Folder\Porto-seguro.mp3.vbs
- C:\ARCHIV~1\KaZaA\My Shared Folder\Asereje.mp3.vbs
- C:\ARCHIV~1\KaZaA\My Shared Folder\Quake 2.exe.vbs
- C:\ARCHIV~1\KaZaA\My Shared Folder\Half-life_complete_version.zip.vbs
- C:\Windows\Quake2.exe.vbs
- C:\Windows\all_acces_videos.exe.vbs
- C:\Windows\kazaa\all_acces_videos.exe.vbs
- C:\Windows\kazaa\sex_all.exe.vbs
- C:\Windows\kazaa\quake2_full_version.exe.vbs
注意: 上記のパスはハードコード化されています。
また、有名アンチウイルスプログラムを探し、そのプログラムフォルダにあるファイルを削除しようとします。
また、Autoexec.bat ファイルに次の行を追加します。
@Start C:\windows\Quake2.exe.vbs>nul
cls
その後、C、D、E ドライブをスキャンして mIRC スクリプトを探します。これらのドライブ上に mIRC がインストールされている場合、次の行をScript.iniファイルに追加します。
[script]
n0=on 1:JOIN:#:if ( $me != $nick ) { /msg $Nick hola , soy francisco , quieres tener todas las peliculas que quieras ver! | /dcc send $NICK C:\Windows\all_acces_videos.exe.vbs }
これは、mIRC を介してワームファイルを送信するコードです。
ワームは次のレジストリキーを作成し、
HKEY_CURRENT_USER\software\Legion\sistem
そのキーに次の値を追加します。
infected
この値が設定されている場合、ワームは .html、.htt、.htm ファイルを自分のコードで上書きします。
また、次の KaZaA 共有レジストリキーの値を
HKEY_CURRENT_USER\Software\Kazaa\LocalContent\DisableSharing
次のように変更します。
00000000
Symantec Security Responseでは、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。
- 不必要なサービスをすべて無効化するか、あるいは削除する。OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
- 1つ、あるいは複数のネットワークサービスが複合型リスクの攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
- 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNSサービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
- パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
- メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
- ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
- 従業員に対し、次のことを徹底させる。
- 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
- インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
- 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。
以下の手順は、Symantec AntiVrus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。
- 1. ウイルス定義を最新版に更新します。
2. システム全体のスキャンを実行し、VBS.Pelic.Worm として検出されたファイルをすべて削除します。
具体的な手順については、以下のセクションをご覧ください。
1. ウイルス定義を更新する
ウイルス定義を最新版に更新します。最新版のウイルス定義は次の2通りの方法で入手することができます。
- LiveUpdate を実行する方法:
シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加・更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑える事ができます。
LiveUpdate のウイルス定義は、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。
このウイルスへの対応は、ページ上部に記載の「対応日(LiveUpdate)」欄の日付をご覧ください。
- Intelligent Updater を使用してウイルス定義をダウンロードする方法:
Intelligent Updater は、.シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。
Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日アップロードされています。Intelligent Updater 形式のウイルス定義は LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。
このウイルスへの対応は、ページ上部に記載の「対応日(Intelligent Updater)」欄の日付をご覧ください。
注意: Intelligent Updater は、ウイルス定義とスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義の更新を行い、疑わしいファイルからウイルスを検知出来ない場合などに、Intelligent Updater でウイルス定義を更新する事をお薦めします。
Intelligent Updater のウイルス定義は、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。
2. 感染ファイルを探して削除する
- a. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。
- 個人のお客様向け NAV 製品をお使いの場合(パッケージ製品):詳しくは、"すべてのファイルをウイルススキャンする方法"をご覧ください。
- 企業・法人のお客様向け NAV 製品をお使いの場合(ライセンス製品):詳しくは、"NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
c. VBS.Pelic.Worm に感染しているファイルが検出されたら、[削除] をクリックします。
記述: Maryl Magee